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2. This REPORT consists of a total of 



. sheets, including this cover sheet. 



| — I This report is also accompanied by ANNEXES, i.e., sheets of the description, claims and/or drawings which have been 
I — ' amended and are the basis for this report and/or sheets containing rectifications made before this Authority (see Rule 
70.16 and Section 607 of the Administrative Instructions under the PCT). 



These annexes consist of a total of _ 
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3. This report contains indications relating to the following items: 
Basis of the report 
Priority 

Non-establishment of opinion with regard to novelty, inventive step and industrial applicability 
Lack of unity of invention 

Reasoned statement under Article 35(2) with regard to novelty, inventive step or industrial applicability; 
citations and explanations supporting such statement 

Certain documents cited 
Certain defects in the international application 
Certain observations on the international application 
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Basis of the report 



1 . With regard to the elements of the international application:* 
| [ the international application as originally filed 
|^| the description: 

pages \-67 , as originally filed 

_____ _ ~ ^ fiJed w - th the demand 



pages 



pages , filed with the letter of 

the claims: 

pages 1-18 » as originally filed 

pages __ _ 

pages ^ < 



, as amended (together with any statement under Article 19 

, filed with the demand 



pages m , filed with the letter of 

the drawings: 

pages 1/3-3/3 ■ as originally filed 



pages 



, filed with the demand 



pages > fil ed witn tne l etter °f 

f | the sequence listing pan of the description: 

pages > 38 ori g ina lly filed 

pages m > filed with the demand 

pages filed with the letter of 



2. With regard to the language, all the elements marked above were available or furnished to this Authority in the language in which 
the international application was filed, unless otherwise indicated under this item. 

These elements were available or furnished to this Authority in the following language which is: 

[ | the language of a translation furnished for the purposes of international search (under Rule 23 . 1 (b)). 
| | the language of publication of the international application (under Rule 48.3(b)). 

| | the language of the translation furnished for the purposes of international preliminary examination (under Rule 55.2 and/ 
or 55.3). 

3. With regard to any nucleotide and/or amino acid sequence disclosed in the international application, the international 
preliminary examination was carried out on the basis of the sequence listing: 

| | contained in the international application in written form. 

[ 1 filed together with the international application in computer readable form. 

L J furnished subsequently to this Authority in written form. 

Q furnished subsequently to this Authority in computer readable form. 

| | The statement that the subsequently furnished written sequence listing does not go beyond the disclosure in the 

international application as filed has been furnished. 
| | The statement that the information recorded in computer readable form is identical to the written sequence listing has 
been furnished. 

I | The amendments have resulted in the cancellation of: 

I 1 the description, pages 

1 1 the claims, Nos. . 



I | the drawings, sheets/fig 

□ This report has been established as if (some of) the amendments had not been made, since they have been considered to go 
beyond the disclosure as filed, as indicated in the Supplemental Box (Rule 70.2(c)).** 

* Replacement sheets which have been furnished to the receiving Office in response to an invitation under Article 14 are referred to 
in this report as "originally filed" and are not annexed to this report since they do not contain amendments (Rule 70.16 
and 70. J 7). 

**Any replacement sheet containing such amendments must he referred to under item I and annexed to this report. 
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V. Reasoned statement under Article 35(2) with regard to novelty, inventive step or industrial applicability; 
citations and explanations supporting such statement 



Statement 
Novelty (N) 

Inventive step (IS) 
Industrial applicability (IA) 



Claims 
Claims 

Claims 
Claims 

Claims 
Claims 



1-18 



1-18 



1-18 



YES 
NO 
YES 
NO 

YES 
NO 



Citations and explanations 

The invention concerns a method (Claim 1) and a system 
(Claims 6 and 11) for proving to a controller entity the 
authenticity of a witness entity and/or the integrity of a 
message associated with said witness entity, comprising 
the sequence of steps consisting in commitment carried out 
by the witness entity, challenge carried out by the 
controller, response by the witness entity and checking by 
the controller. The invention also concerns a controller 
device (Claim 15) using said method. 

Prior art : 

EP-A-0 311 470, which is cited in the application, 
describes such a protocol according to which an entity 
called "trusted authority" assigns an identity to each 
entity called "witness" and calculates its RSA signature; 
during a personalization process , the trusted authority 
gives an identity and signature to the witness. 
Subsequently, the witness states: "This is my identity; I 
know its RSA signature". The witness proves that it knows 
the RSA signature of its identity without disclosing it. 
Using the public key for RSA verification distributed by 
the trusted authority, an entity called "controller" 
verifies, without reading it, that the RSA signature 
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corresponds to the stated identity. The mechanisms using 
this protocol operate "without transfer of knowledge" : the 
witness does not know the private RSA key with which the 
trusted authority signs a large number of identities. 



Problem: 



The use of the RSA technology makes the authentication 
process susceptible to so-called "multiplicative" attacks; 
moreover, the work load related to the arithmetic 
operations requires too much computing time for smart card 
applications . 



Invention : 

The method according to the invention does not use the RSA 
signature and calculates commitments R, challenges d and 
responses R using public/private values Gi and Qi defined 
according to the features of Claim 1 . 

None of the documents cited in the international search 
report discloses or suggests the calculation steps defined 
in Claim 1. In particular, EP-A-0 792 044 (category X) 
also relates to a challenge/response authentication 
method, but using RSA technology. 

The subject matter of Claim 1 therefore involves an 
inventive step (PCT Article 33) . 

Independent Claims 6 and 11 correspond to Claim 1 in terms 
of systems comprising the witness device calculating the 
commitments, receiving the challenges and calculating the 
responses. They therefore also meet the requirements of 
PCT Article 33 . 

Claims 2-5, 7-10, 12-14 and 16-18 are dependent claims and 
therefore likewise satisfy, as such, the PCT requirements 
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of novelty and inventive step. 



Independent Claim 15 relates to a controller device using 
the calculation of the values Gi and Qi of the method of 
the invention. Since said calculations are neither 
disclosed in nor suggested by the cited documents, said 
claim also meets the requirements of PCT Article 33. 



Certain defects in the international application 



In the dependent claims, the expressions "if the 
demonstrator has transmitted "... operation "if the 

controller ..." are used without any link to the rest of the 
text of the claims. 



The expressions in parentheses in the claims (for example 
"m being greater than 1" in Claim 1) are not reference 
signs (PCT Rule 6.2(b)), but appear to be essential to the 
definition of the subject matter of the claims. The 
expressions should not, therefore, be in parentheses. 

Certain observations on the international application 

The following claims do not fully satisfy the requirement 
of PCT Article 6 for the following reasons: 



1. Independent Claim 1: 

Since the step of checking by the "controller" 
entity is not indicated in the claim, the wording of 
the subject matter of the invention ("method for 
proving to a controller entity the authenticity of 
an entity and/or the integrity of a message") is 
unclear, as the features disclosed in the claim 
relate only to the calculations of the 
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commitment/challenge/response values that can be 
used in the authentication method according to the 
invention. 



Moreover, the expressions "all or part of the 
following parameters' 7 and "derivatives thereof" are 
unclear because they may correspond to any number of 
combinations of the parameters defined subsequently . 

2. Independent Claims 6 and 11 contain the same 

features as Claim 1 but expressed respectively in 
terms of a system and a terminal device comprising 
the witness device calculating commitments and 
responses to challenges received. The objections 
mentioned in paragraph 1, above, are therefore also 
valid for these claims. 



Moreover, although Claims 6 and 11 have been drafted 
in the form of separate independent claims, they in 
fact have the same subject matter and differ from 
one another only by virtue of a marginal variation 
in the definition of the subject matter for which 
protection is sought (system comprising the witness 
or terminal device comprising the witness) . 
Consequently, said claims considered as a whole are 
not concise (PCT Article 6) . 



3. Independent Clairru 15 relates to a controller device 
for cooperating with the terminal or witness device. 
Said controller, however, does not comprise any 
device or system features, but does comprise method 
or process features, some of which, moreover, are 
features external to the system claimed ("unknown to 
the controller device") . Furthermore, said claim 
does not comprise challenge -producing means, which 
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are necessary for the authentication process 
described in the description as a whole. Independent 
Claim 15 does not therefore meet the requirement of 
PCT Article 6 in combination with PCT Rule 6.3(b), 
stipulating that an independent claim must contain 
all of the technical features necessary for the 
definition of the invention. 
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1 . Le present rapport d'examen preliminaire international, etabli par I'administaration chargee de I'examen preliminaire 
international, est transmis au deposant conformement a Particle 36. 

2. Ce RAPPORT comprend 7 feuilles, y compris la presente feuille de couverture. 

□ II est accompagne d'ANNEXES, c'est-a-dire de feuilles de la description, des revendications ou des dessins qui ont 
ete modifiees et qui servent de base au present rapport ou de feuilles contenant des rectifications faites aupres de 
I'administration chargee de I'examen preliminaire international (voir la regie 70.16 et ['instruction 607 des Instructions 
administratives du PCT). 

Ces annexes comprennent feuilles. 



3. Le present rapport contient des indications relatives aux points suivants: 



I 




II 


□ 


III 


□ 


IV 


□ 


V 




VI 


□ 


VII 


□ 


VIII 


□ 



d'application industrielle 



Declaration motivee selon I'article 35(2) quant a la nouveaute, I'activite inventive et la possibility 
d'application industrielle; citations et explications a I'appui de cette declaration 



Date de presentation de la demande d'examen preliminaire 
intemationale 

10/04/2001 



Date d'achevement du present rapport 
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Norn et adresse postale de I'administration chargee de 
I'examen preliminaire international: 

Office europeen des brevets 

D-80298 Munich 

Tel. +49 89 2399 - 0 Tx: 523656 epmu d 
Fax: +49 89 2399 - 4465 



Fonctionnaire autorise 
Cretaine, P 

N° de telephone +49 89 2399 8828 
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I. Base du rapport 

1 . En ce qui concerne les elements de la demande Internationale (les feui/les de remplacement qui ont ete remises 
a i'office recepteur en reponse a une invitation faite conformement a f'articie 14 sont considerees dans le present 
rapport comme "initiaiement deposees" et ne sont pas jointes en annexe au rapport puisqu'eiies ne contiennent 
pas de modifications (regies 70. 16 et 70. 17)): 

Description, pages: 

1-67 version initiale 

Revendications, N°: 

1-18 version initiale 

Dessins, feuilles: 

1/3-3/3 version initiale 

2. En ce qui concerne la langue, tous les elements indiques ci-dessus etaient a la disposition de I'administration ou 
lui ont ete remis dans la langue dans laquelle la demande internationale a ete d£posee, sauf indication contraire 
donnee sous ce point. 

Ces elements etaient a la disposition de I'administration ou lui ont ete remis dans la langue suivante: , qui est : 

□ la langue d'une traduction remise aux fins de la recherche internationale (selon la regie 23.1 (b)). 

□ la langue de publication de la demande internationale (selon la regie 48.3(b)). 

□ la langue de la traduction remise aux fins de I'examen pr£liminaire internationale (selon la regie 55.2 ou 



3. En ce qui concerne les sequences de nucleotides ou d'acide amines divulguees dans la demande 

internationale (le cas echeant), I'examen preliminaire internationale a ete effectue sur la base du listage des 



□ contenu dans la demande internationale, sous forme ecrite. 

□ depose avec la demande internationale, sous forme dechiffrable par ordinateur. 

□ remis ulterieurement & I'administration, sous forme ecrite. 

□ remis ulterieurement a I'administration, sous forme dechiffrable par ordinateur. 

□ La declaration, selon laquelle le listage des sequences par ecrit et fourni ulterieurement ne va pas au-dela 
de la divulgation faite dans la demande telle que d6pos£e, a ete fournie. 

□ La declaration, selon laquelle les informations enregistrees sous dechiffrable par ordinateur sont identiques a 
celles du listages des sequences Presente par 6crit, a 6t6 fournie. 

4. Les modifications ont entraine I'annulation : 



55.3). 



sequences : 
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□ de la description, pages : 

□ des revendications, n os : 

□ des dessins, feuilles : 

5. □ Le present rapport a ete formule abstraction faite (de certaines) des modifications, qui ont ete considerees 
comme allant au-del& de l'expos6 de I'invention tel qu'il a ete depose, comme il est indiqu6 ci-apr&s (r^gle 
70.2(c)): 

(Toute feuille de remplacement comportant des modifications de cette nature doit etre indiqu4e au point 1 et 
annexSe au present rapport) 



6. Observations complementaires, le cas echeant : 



V. Declaration motivee selon ('article 35(2) quant a la nouveaute, Tactivite inventive et la possibility 
d'application industrielle; citations et explications a I'appui de cette declaration 

1. Declaration 

Nouveaute Oui : Revendications 1-18 

Non : Revendications 

Activite inventive Oui: Revendications 1-18 

Non : Revendications 

Possibility d'application industrielle Oui : Revendications 1-18 

Non : Revendications 



2. Citations et explications 
voir feuille separee 
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Concernant le point V 

Declaration motivee selon I'article 35(2) quant a la nouveaute, I'activite inventive 
et la possibility d'application industrielle; citations et explications a I'appui de 
cette declaration 

L'invention concerne un procede (revendication 1) et un systeme (revendications 6 et 
11) destines a prouver axine entite controleur I'authenticite d'une entite temoin et/ou 
I'integrite d'un message associe a cette entite temoin, comportant les etapes 
successives d'engagement effectuee par I'entite temoin, de defi effectue par le 
controleur, de reponse par I'entite temoin et de controle par le controleur. Elle concerne 
aussi un dispositif controleur (revendication 15) utilisant ce procede. 

Etat de la technique: 

EP-A-0 31 1 470, cite dans la demande, decrit un tel procede selon lequel une entite 
appelee "autorite de confiance" attribue une identite a chaque entite appelee "temoin" 
et en calcule la signature RSA; durant un processus de personnalisation, Pautorite de 
confiance donne identite et signature au temoin. Par suite, le temoin proclame: "Void 
mon identite; j'en connais la signature RSA.". Le temoin prouve sans la reveler qu'il 
connait la signature RSA de son identite. Grace a la cle publique de verification RSA 
distribute par I'autorite de confiance, une entite appelee "controleur" verifie sans en 
prendre connaissance que la signature RSA correspond a I'identite proclamee. Les 
mecanismes utilisant ce protocole se deroulent "sans transfer! de connaissance": le 
temoin ne connait pas la cle privee RSA avec laquelle I'autorite de confiance signe un 
grand nombre d'identites. 

Probleme: 

^utilisation de la technologie RSA rend le procede d'authentification sensible aux 
attaques dites "multiplicatives"; d'autre part la charge de travail liee aux operations 
arithmetiques entraine des temps de calculs trop importants pour les applications type 
carte a puce. 
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Invention: 

Le procede selon I'invention n'utilise pas la signature RSA et calcule des engagements 
R, defis d et reponses R a partir de valeurs publiques /privees Gj et Q; definis selon les 
caracteristiques de la revendication 1 . 

Aucun des documents cites dans le rapport de recherche international ne divulgue ou 
suggere les etapes de calcul definies dans la revendication 1 . En particulier, 
EP-A-0 792 044 (cat. X) se rapporte aussi a un procede d'authentification par 
defi/reponse, mais utilisant la technologie RSA. 

L'objet de la revendication 1 implique par consequent une activite inventive (article 33 
PCT). 

Les revendications independantes 6 et 1 1 correspondent a la revendication 1 en 
termes de systemes comportant le dispositif temoin calculant les engagements, 
recevant les defis et calculant les reponses. Elles remplissent done aussi les conditions 
de rarticle 33 PCT. 

Les revendications 2-5, 7-10, 12-14 et 16-18 sont dependantes et satisfont done 
egalement, en tant que telles, aux conditions requises par le PCT en ce qui concerne la 
nouveaute et I'activite inventive. 

La revendication independante 15 est relative a un dispositif controleur utilisant les 
calculs de G, et Qj propres au procede de I'invention. Ces calculs n'etant ni divulgues ni 
suggeres par les documents cites, cette revendication remplit aussi les conditions de 
rarticle 33 PCT. 
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Irregularites dans la demande internationale 

Les expressions "cas ou le demonstrates a transmis ...", "operation de ...", "cas ou le 
controleur..." dans les revendications dependantes sont utilisees sans lien avec le reste 
du texte des revendications. 

Les expressions entre parentheses dans les revendications (par ex. "m etant superieur 
a 1 " dans la revendication 1) ne sont pas des signes de reference au sens de la Regie 
6.2 b) PCT mais apparaissent essentielles a la definition de I'objet des revendications. 
Les expressions devraient done apparaTtre sans parentheses. 



Observations relatives a la demande internationale 

Les revendications suivantes ne remplissent pas entierement les conditions de Particle 
6 PCT pour les raisons suivantes: 

1 . revendication independante 1 : 

L'etape de controle par I'entite "controleur" n'etant pas indiquee dans la 
revendication, la designation de I'objet de Pinvention ("procede destine a prouver 
a une entite controleur Pauthenticite d'une entite et/ou Tintegrite d'un message") 
n'est pas claire, les caracteristiques enoncees dans la revendication se rapportant 
uniquement aux calculs des valeurs d'engagements/defis/reponses utilisables 
dans le procede d'authentification selon Pinvention. 

De plus les expressions "tout ou partie des parametres suivants" et "derives de 
ceux-ci" ne sont pas claires car elles peuvent correspondre a une infinite de 
combinaisons des parametres definis plus loin. 

2. Les revendications independantes 6 et 1 1 contiennent les memes caracteristiques 
que la revendication 1 mais exprimees respectivement en terme de systeme et de 
dispositif terminal comportant le dispositif temoin calculant des engagements et 
des reponses a des defis regus. Les objections mentionnees au paragraphe 1 ci- 
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dessus sont done aussi valables pour ces revendications. 

De plus, bien que les revendications 6 et 1 1 aient ete redigees sous forme de 
revendications independantes distinctes, elles ont en fait le meme objet et ne 
different Tune de I'autre que par une variation minime dans la definition de I'objet 
pour lequel la protection est demandee (systeme comportant le temoin ou 
dispositif terminal comportant le temoin). Par consequent ces revendications, 
considerees ensemble, ne sont pas concises (Article 6 PCT). 

3. La revendication independante 15 se rapporte a un dispositif controleur destine a 
cooperer avec le dispositif terminal ou temoin. Elle ne comporte cependant 
aucune caracteristique de dispositif ou systeme mais des caracteristiques de 
methode ou procede, dont certaines sont de plus des caracteristiques exterieures 
au systeme revendique ("inconnus du dispositif controleur"). De plus cette 
revendication ne component pas les moyens de production de defi qui sont 
necessaires au processus d'authentification decrit dans la description dans son 
ensemble. La revendication independante 15 ne remplit done pas la condition 
visee a I'article 6 PCT en combinaison avec la regie 6.3 b) PCT, qui prevoient 
qu'une revendication independante doit contenir toutes les caracteristiques 
techniques essentielles a la definition de invention. 



Formulaire PCT/Feuille separee/409 (feuille 4) (OEB-avril 1997) 



THIS PAGE BLANK (uspto) 



TRAITE DWOOPERATION EN MATIEF»E BREVETS. 

PCT 

RAPPORT D'EXAMEN PRELIMINAIRE INTERNATIONAL 

(article 36 et regie 70 du PCT) 



Reference du dossier du deposant ou du 

mandataire 

BET99/118FRA 


voir la notification de transmission du rapport d'examen 
POUR SUITE A DONNER preliminaire international (formulaire PCT/IPEA/416) 


Demande Internationale n° 
PCT/FR99/02717 


Date du depot international Qour/mois/ann6e) 
05/11/1999 


Date de priorite (jour/mois/anne'e) 
09/11/1998 


Classification Internationale des brevets (CIB) ou a la fois classification nationale et CIB 
G21C3/334 


Deposant 

FRAMATOME et al. 



1 . Le present rapport d'examen preliminaire international, etabli par I'administaration charged de I'examen preliminaire 
international, est transmis au deposant conformement a I'article 36. 

2. Ce RAPPORT comprend 5 feuilles, y compris la presente feuille de couverture. 

□ II est accompagne d'ANNEXES, c'est-a-dire de feuilles de la description, des revendications ou des dessins qui ont 
ete modifiees et qui servent de base au present rapport ou de feuilles contenant des rectifications faites aupres de 
I'administration chargee de I'examen preliminaire international (voir la regie 70.16 et Instruction 607 des Instructions 
administratives du PCT). 

Ces annexes comprennent feuilles. 



3. Le present rapport contient des indications relatives aux points suivants: 
I H Base du rapport 



Absence de formulation d'opinion quant a la nouveaute, I'activite inventive et la possibility 
d'application industrielle „ 

Absence d'unite de invention 

Declaration motived selon I'article 35(2) quant a la nouveaute, I'activit6 inventive et la possibility 
d'application industrielle; citations et explications a I'appui de cette declaration 

Certains documents cites 

Irregularis dans la demande Internationale 

Observations relatives a la demande internationale 



II 


□ 


III 


□ 


IV 


□ 


V 




VI 


□ 


VII 




VIII 


□ 



Date de presentation de la demande d'examen preliminaire 
internationale 

08/03/2000 


Date d'achevement du present rapport 
21.02.2001 


Nom et adresse postale de I'administration chargee de 
I'examen preliminaire international: 

^ Office europeen des brevets 
/fljVJ D-80298 Munich 

C^' Tel. +49 89 2399 - 0 Tx: 523656 epmu d 
Fax: +49 89 2399 - 4465 


Fonctionnaire autorise 

Gianni. G f ^ J 

N° de telephone +49 89 2399 2660 ^Sj*^/ 
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I. Base du rapport 

1 . Ce rapport a ete redige sur la base des elements ci-apr6s (les feuilles de remplacement qui ont 6te remises a 
I'office rgcepteur en rgponse a une invitation faite conformement a I'artic/e 14 sont considerees dans le present 
rapport com me "initiaiement depos6es" et ne sont pas jointes en annexe au rapport puisqu'elles ne contiennent 
pas de modifications (r&gles 70. 16 et 70.17).) : 

Description, pages: 

1-17 version initiale 

Revendications, N°: 

1-16 version initiale 

Dessins, feuilles: 

1/11-11/11 version initiale 

2. En ce qui concerne la langue, tous les Elements indiqu6s ci-dessus etaient k la disposition de Tadministration ou 
lui ont ete remis dans la langue dans laquelle la demande internationale a ete deposee, sauf indication contraire 
donnSe sous ce point. 

Ces Elements etaient k la disposition de I'administration ou lui ont et6 remis dans la langue suivante: , qui est : 

□ la langue d'une traduction remise aux fins de la recherche internationale (selon la regie 23.1 (b)). 

□ la langue de publication de la demande internationale (selon la regie 48.3(b)). 

□ la langue de la traduction remise aux fins de I'examen preiiminaire internationale (selon la regie 55.2 ou 



3. En ce qui concerne les sequences de nucleotides ou d'acide amines divulguees dans la demande 
internationale (le cas 6cheant), I'examen pr6liminaire internationale a 6te efftjctoesur la base du listage des 
sequences : 

□ contenu dans la demande internationale, sous forme ecrite. 

□ deposS avec la demande internationale, sous forme dechiff rable par ordinateur. 

□ remis ulterieurement k I'administration, sous forme Scrite. 

□ remis ulterieurement a I'administration, sous forme d6chiffrable par ordinateur. 

□ La declaration, selon laquelle le listage des sequences par ecrit et fourni ulterieurement ne va pas au-del& 
de la divulgation faite dans la demande telle que deposee, a et£ fournie. 

□ La declaration, selon laquelle les informations enregistr£es sous d£chiffrable par ordinateur sont identiques k 
celles du listages des sequences Presente par ecrit, a ete fournie. 

4. Les modifications ont entraine Pannulation : 



55.3). 
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□ de la description, pages : 

□ des revendications, n os : 

□ des dessins, feuilles : 

5. □ Le present rapport a 6te formula abstraction faite (de certaines) des modifications, qui ont 6t6 consid6r6es 
comme allant au-del& de l'expos6 de I'invention tel qu'il a 6t6 d6pos6, comme il est indiqu6 ci-apr&s (regie 
70.2(c)) : 

(Toute feuille de remplacement comportant des modifications de cette nature doit etre indiqu4e au point 1 et 
annex^e au present rapport) 



6. Observations comptementaires, le cas 6ch6ant : 



V. Declaration motivee selon I'article 35(2) quant a la nouveaute, I'activite inventive et la possibility 
d'application industrielle; citations et explications a I'appui de cette declaration 

1. Declaration 

Nouveaute Oui : Revendications 1 ,2 

Non : Revendications 3 

Activity inventive Oui : Revendications 

Non : Revendications 4-16 

Possibility d'application industrielle Oui : Revendications 1-16 

Non : Revendications 



2. Citations et explications 
voir feuille separee 



VII. Irregularis dans la demande internationale _ 

Les irregularis suivantes, concernant la forme ou le contenu de la demande internationale, ont 6te constatees : 
voir feuille separee 
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Concernant le Point V 

1) . Le procede de montage objet des revendications 1 et 2 n'appelle pas 

d'objections au titre de I'article 33 PCT. 

2) . L'objet de la revendication 3 n'est pas nouveau au titre de I'article 33(2) 

PCT. 

2.1 Lexpression "apte a etre monte conformement au procede selon Tune des 
revendications 1 ou 2", qui constitue une simple declaration d'utilisation de 
I'assemblage, ne comportant aucune limitation quant a la structure de 
I'assemblage lui-meme, n'est pas prise an compte pour ('appreciation de 
la nouveaute. 

Le document D:GB-A-2 225 151, page 7, lignes 15-24, fig.1, 24, divulgue 
un assemblage de combustible pour reacteur nucleaire comportant des 
crayons de combustible disposes en faisceau et une ossature comprenant 
plusieurs ensembles de maintien 10 desdits crayons repartis sur la 
longueur de ces crayons, chaque ensemble comprenant une ceinture 
polygonale 18 possedant une configuration d'acces a son volume interieur 
et une configuration de fermeture du dit volume interieur, chaque 
ensemble de maintien comprenant en outre des modules de maintien 
13,14,17 des crayons propres a immobiliser lesdits crayons par rapport a 
la ceinture et entre eux. 

Un assemblage selon la revendication 1 - sans tenir compte de 
('expression "apte a ..." ne se distingue en rien d'un assemblage divulgue 
par le document D. 

Par consequent, il faudrait remplacer I'expression "apte a ..." par des 
elements techniques essentiels pour permettre a I'assemblage d'atteindre 
le but poursuivi et, effectivement, le rendre "apte a ..." 

La demanderesse devrait tenir compte de ce que I'etendue de la protection 
conferee par le brevet est determinee, non par les resultats que I'invention 
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souhaite atteindre, encore moins par les buts ou intentions poursuivis, 
mais plutot par des elements techniques essentiels pour I'invention - tels 
qu'ils sont inclus dans les revendications et en particulier dans les 
revendications independantes. 

Ainsi done les elements techniques qui sont inclus dans la revendication 
3 sont connus par la divulgation du document D. 

L'absence de nouveaute de I'objet de la revendication 3 provient du fait 
que I'enonce actuel est vague et que son etendue et beaucoup trop large 
et, par consequent, peut etre facilement anticipee. 

3). Les caracteristiques divulguees dans les revendications 4-16 ne sont pas 
inventives car elles concernent des modifications qui sont une pratique 
courante de I'homme de Tart et les avantages qui en resultent sont 
aisement previsibles. 

Concernant le Point VII 

1). La description ne cite pas de document refletant I'etat de la technique 
decrit a la page 1 (regie 5.1 a) ii) PCT). 
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Exp^diteur: L'ADMINISTRATION CHARGEE DE 

L'EXAMEN PRELIMINAIRE INTERNATIONAL 



Destinataire: 
VIDON, P. 

CABINET PATRICE VIDON 
Le Nobel 

2, alle6 Antoine Becquerel 
BP 90333 

F-35703 RENNES Cedex 7 
FRANCE 



PCT 



' * urn mm 



NOTIFICATION DE TRANSMISSION DU 
RAPPORT D'EXAMEN PRELIMINAIRE 
INTERNATIONAL 

(r§gle 71.1 du PCT) 



Date d'expedition 

(]our/mols/ann6e) 1 1 .03.2002 



Reference du dossier du d6posant ou du mandataire 
6680.WO 


NOTIFICATION IMPORTANTE 


Demande internationale No. 
PCT/FR00/02717 


Date du depot international (jour/mois/ann£e) 
29/09/2000 


Date de priorite (jour/mois/ann6e) 
01/10/1999 


D6posant 

FRANCE TELECOM et al. 





II est notifie au deposant que radministration chargee de rexamen preliminaire international a etabli le rapport 
d'examen preliminaire international pour la demande internationale et le lui transmet ci-joint, accompagne, le 
cas 6cheant, de ces annexes. 



Une copie du present rapport et, le cas ech£ant, de ses annexes est transmise au Bureau international pour 
communication a tous les offices elus. 



Si tel ou tel office elu I'exige, le Bureau international etablira une traduction en langue anglaise du rapport (k 
I'exclusion des annexes de celui-ci) et la transmettra aux offices interesses. 



4. RAPPEL 

Pour aborder la phase nationale aupr&s de chaque office 6lu, le deposant doit accomplir certains actes (depot 
de traduction et paiement des taxes nationales) dans le delai de 30 mois a compter de la date de priorite (ou 
plus tard pour ce qui concerne certains offices) (article 39.1) (voir aussi le rappel envoys par le Bureau 
international dans le formulaire PCT/IB/301). 



Losrqu'une traduction de la demande internationale doit etre remise a un office eiu, elle doit comporter la 
traduction de toute annexe du rapport d'examen preliminaire international. II appartient au deposant d'etablir la 
traduction en question et de la remettre directement & chaque office eiu interesse. 

Pour plus de precisions en ce qui concerne les deiais applicables et les exigences des offices eius, voir le 
Volume II du Guide du deposant du PCT. 



Nom et adresse postale de radminstration chargee de I'examen 
preliminaire international 

Office europeen des brevets 
D-80298 Munich 

Tel. +49 89 2399 - 0 Tx: 523656 epmu d 
Fax: +49 89 2399 - 4465 



Fonctionnaire autorise 
Barrio Baranano, A 

TeL+49 89 2399-8621 
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TRAITE D^OOPERATION EN MATIER^E BREVETS 

PCT 



RAPPORT D'EXAMEN PRELIMINAIRE INTERNATIONAL 

(article 36 et regie 70 du PCT) 



Reference du dossier du deposant ou du 
mandataire 

6680.WO 


voir la notification de transmission du rapport d'examen 
POUR SUITE A DONNER preliminaire international (formulaire PCT/lPEA/416) 


Demande Internationale n° 
PCT/FR00/02717 


Date du depot International (jour/mois/annde) 
29/09/2000 


Date de priority (jour/mois/anne'e) 
01/1 0/1999 


Classification Internationale des brevets (CIB) ou a la fois classification nationale et CIB 
H04L9/32 


Deposant 

FRANCE TELECOM et al. 



1 . Le present rapport d'examen preliminaire international, 6tabli par I'administaration charged de Texamen preliminaire 
international, est transmis au deposant conformement a Particle 36. 



2. Ce RAPPORT comprend 7 feuilles, y compris la presente feuille de couverture. 

□ II est accompagne d'ANNEXES, c'est-a-dire de feuilles de la description, des revindications ou des dessins qui ont 
ete modifiees et qui servent de base au present rapport ou de feuilles contenant des rectifications faites aupres de 
I'administration charged de I'examen preliminaire international (voir la regie 70.16 et ('instruction 607 des Instructions 
administratives du PCT). 

Ces annexes comprennent feuilles. 



3. Le present rapport contient des indications relatives aux points suivants: 

I ^ Base du rapport 

II □ Priorite 

III □ Absence de formulation d'opinion quant a la nouveaute, I'activite inventive et la possibilite 

d'application industrielle 

IV □ Absence d'unite de Tinvention 

V E3 Declaration motivee selon I'article 35(2) quant a la nouveaute, I'activite inventive et la possibilite 

d'application industrielle; citations et explications a I'appui de cette declaration 

VI □ Certains documents cites 

VII □ Irr^gularites dans la demande internationale 

VIII □ Observations relatives a la demande internationale 



Date de presentation de la demande d'examen preliminaire 
internationale 

10/04/2001 


Date d'achevement du present rapport 
1 1 .03.2002 


Norn et adresse postale de I'administration chargee de 
Texamen preliminaire international: 

^ Office europeen des brevets 
0))) D-80298 Munich 

Tel. +49 89 2399 - 0 Tx: 523656 epmu d 
Fax: +49 89 2399 - 4465 


Fonctionnaire autorise ><2SSS>v 
Cretaine, P f ^ }) 

N° de telephone +49 89 2399 8828 
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I. Base du rapport 

1 . En ce qui concerne les elements de la demande internationale (les feuilles de remplacement qui ont 6t6 remises 
a I'office r6cepteur en r£ponse a une invitation faite conformgment a I'article 14 sont consid£r£es dans le present 
rapport comme "initialement depos6es" et ne sont pas jointes en annexe au rapport puisqu'e/les ne contiennent 
pas de modifications (regies 70. Wet 70. 17)): 

Description, pages: 

1-67 version initiale 

Revendications, N°: 

1-18 version initiale 

Dessins, feuilles: 

1/3-3/3 version initiale 

2. En ce qui concerne la langue, tous les elements indiqu6s ci-dessus etaient k la disposition de I'administration ou 
lui ont 6t£ remis dans la langue dans laquelle la demande internationale a et£ d£posee, sauf indication contraire 
donn£e sous ce point. 

Ces elements etaient a la disposition de I'administration ou lui ont ete remis dans la langue suivante: , qui est : 

□ la langue d'une traduction remise aux fins de la recherche internationale (selon la r&gle 23.1(b)). 

□ la langue de publication de la demande internationale (selon la regie 48.3(b)). 

□ la langue de la traduction remise aux fins de I'examen preliminaire internationale (selon la regie 55.2 ou 



3. En ce qui concerne les sequences de nucleotides ou d'acide amines divulguees dans la demande 
internationale (le cas ech£ant), I'examen preliminaire internationale a 6t6 effectu£ sur la base du listage des 
sequences : 

□ contenu dans la demande internationale, sous forme ecrite. 

□ depose avec la demande internationale, sous forme dechiffrable par ordinateur. 

□ remis ult^rieurement k I'administration, sous forme ecrite. 

□ remis ulterieurement k I'administration, sous forme dechiffrable par ordinateur. 

□ La declaration, selon laquelle le listage des sequences par 6crit et fourni ulterieurement ne va pas au-del& 
de la divulgation faite dans la demande telle que d£posee, a ete fournie. 

□ La declaration, selon laquelle les informations enregistr£es sous dechiffrable par ordinateur sont identiques k 
celles du listages des sequences Presents par 6crit, a 6t§ fournie. 

4. Les modifications ont entram£ I'annulation : 



55.3). 
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□ de la description, pages : 

□ des revendications, n os : 

□ des dessins, feuilles : 

5. □ Le present rapport a 6te formula abstraction faite (de certaines) des modifications, qui ont 6t6 consid6r6es 
comme allant au-del& de l'expos6 de I'invention tel qu'il a 6t6 d6pos6, comme il est indiqu6 ci-apr§s (r^gle 
70.2(c)) : 

(Toute feuilie de rempfacement comportant des modifications de cette nature doit etre indiqu6e au point 1 et 
annexge au present rapport) 



6. Observations compl6mentaires, le cas echeant : 



V. Declaration motivee selon Particle 35(2) quant a la nouveaute, I'activite inventive et la possibility 
d'application industrielle; citations et explications a I'appui de cette declaration 

1. Declaration 



Nouveaute 


Oui : 


Revendications 


1-18 




Non : 


Revendications 




Activity inventive 


Oui : 


Revendications 


1-18 




Non : 


Revendications 




Possibility d'application industrielle 


Oui : 


Revendications 


1-18 




Non : 


Revendications 





2. Citations et explications 
voir feuilfe separee 
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Concernant le point V 

Declaration motivee selon I'article 35(2) quant a la nouveaute, I'activlte inventive 
et la possibility d'application industrielle; citations et explications a I'appui de 
cette declaration 

L'invention concerne un procede (revendication 1) et un systeme (revendications 6 et 
11) destines a prouver a une entite controleur I'authenticite d'une entite temoin et/ou 
Tintegrite d'un message associe a cette entite temoin, comportant les etapes 
successives d'engagement effectuee par I'entite temoin, de defi effectue par le 
controleur, de reponse par I'entite temoin et de controle par le controleur. Elle concerne 
aussi un dispositif controleur (revendication 15) utilisant ce procede. 

Etat de la technique: 

EP-A-0 31 1 470, cite dans la demande, decrit un tel procede selon lequel une entite 
appelee "autorite de confiance" attribue une identite a chaque entite appelee "temoin" 
et en calcule la signature RSA; durant un processus de personnalisation, I'autorite de 
confiance donne identite et signature au temoin. Par suite, le temoin proclame: "Voici 
mon identite; j'en connais la signature RSA.". Le temoin prouve sans la reveler qu'il 
connaTt la signature RSA de son identite. Grace a la cle publique de verification RSA 
distribute par I'autorite de confiance, une entite appelee "controleur" verifie sans en 
prendre connaissance que la signature RSA correspond a I'identite proclamee. Les 
mecanismes utilisant ce protocole se deroulent "sans transfert de connaissance": le 
temoin ne connait pas la cle privee RSA avec laquelle I'autorite de confiance signe un 
grand nombre d'identites. 



L'utilisation de la technologie RSA rend le procede d'authentification sensible aux 
attaques dites "multiplicatives"; d'autre part la charge de travail liee aux operations 
arithmetiques entrame des temps de calculs trop importants pour les applications type 
carte a puce. 



Probleme: 
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Invention: 

Le procede selon 1'invention n'utilise pas la signature RSA et calcule des engagements 
R, defis d et reponses R a partir de valeurs publiques /privees Gj et Qj definis selon les 
caracteristiques de la revendication 1 . 

Aucun des documents cites dans le rapport de recherche international ne divulgue ou 
suggere les etapes de calcul definies dans la revendication 1 . En particulier, 
EP-A-0 792 044 (cat. X) se rapporte aussi a un procede d'authentification par 
defi/reponse, mais utilisant la technologie RSA. 

L'objet de la revendication 1 implique par consequent une activite inventive (article 33 
PCT). 

Les revendications independantes 6 et 1 1 correspondent a la revendication 1 en 
termes de systemes comportant le dispositif temoin calculant les engagements, 
recevant les defis et calculant les reponses. Elles remplissent done aussi les conditions 
de I'article 33 PCT. 

Les revendications 2-5, 7-10, 12-14 et 16-18 sont dependantes et satisfont done 
egalement, en tant que telles, aux conditions requises par le PCT en ce qui concerne la 
nouveaute et I'activite inventive. 

La revendication independante 15 est relative a un dispositif controleur utilisant les 
calculs de G, et Q; propres au procede de ['invention. Ces calculs n'etant ni divulgues ni 
suggeres par les documents cites, cette revendication remplit aussi les conditions de 
('article 33 PCT. 
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Irregularites dans la demande internationale 

Les expressions "cas ou le demonstrates a transmis "operation de "cas ou le 
controleur..." dans les revendications dependantes sont utilisees sans lien avec le reste 
du texte des revendications. 

Les expressions entre parentheses dans les revendications (par ex. "m etant superieur 
a 1" dans la revendication 1) ne sont pas des signes de reference au sens de la Regie 
6.2 b) PCT mais apparaissent essentielles a la definition de I'objet des revendications. 
Les expressions devraient done apparaitre sans parentheses. 



Observations relatives a la demande internationale 

Les revendications suivantes ne remplissent pas entierement les conditions de Tarticle 
6 PCT pour les raisons suivantes: 

1 . revendication independante 1 : 

L'etape de controle par I'entite "controleur" n'etant pas indiquee dans la 
revendication, la designation de I'objet de I'invention ("procede destine a prouver 
a une entite controleur I'authenticite d'une entite et/ou I'integrite d'un message") 
n'est pas claire, les caracteristiques enoncees dans la revendication se rapportant 
uniquement aux calculs des valeurs d'engagements/defis/reponses utilisables 
dans le procede d'authentification selon I'invention. 

De plus les expressions "tout ou partie des parametres suivants" et "derives de 
ceux-ci" ne sont pas claires car elles peuvent correspondre a une infinite de 
combinaisons des parametres definis plus loin. 

2. Les revendications independantes 6 et 1 1 contiennent les memes caracteristiques 
que la revendication 1 mais exprimees respectivement en terme de systeme et de 
dispositif terminal comportant le dispositif temoin calculant des engagements et 
des reponses a des defis regus. Les objections mentionnees au paragraphe 1 ci- 
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dessus sont done aussi valables pour ces revendications. 

De plus, bien que les revendications 6 et 1 1 aient ete redigees sous forme de 
revendications independantes distinctes, elles ont en fait le meme objet et ne 
different Tune de I'autre que par une variation minime dans la definition de Tobjet 
pour lequel la protection est demandee (systeme comportant le temoin ou 
dispositif terminal comportant le temoin). Par consequent ces revendications, 
considerees ensemble, ne sont pas concises (Article 6 PCT). 

3. La revendication independante 15 se rapporte a un dispositif controleur destine a 
cooperer avec le dispositif terminal ou temoin. Elle ne comporte cependant 
aucune caracteristique de dispositif ou systeme mais des caracteristiques de 
methode ou procede, dont certaines sont de plus des caracteristiques exterieures 
au systeme revendique ("inconnus du dispositif controleur"). De plus cette 
revendication ne comportent pas les moyens de production de defi qui sont 
necessaires au processus d'authentification decrit dans la description dans son 
ensemble. La revendication independante 15 ne remplit done pas la condition 
visee a Particle 6 PCT en combinaison avec la regie 6.3 b) PCT, qui prevoient 
qu'une revendication independante doit contenir toutes les caracteristiques 
techniques essentielles a la definition de I'invention. 
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TRAITE R, 



Exp6diteur : L'ADMINISTRATION CHARGEE DE 
LA RECHERCHE INTERNATIONALE 



OPERATION EN MATIERE DE^^EVETS 

1% BEL 2001 



Destinataire 
LE NOBEL 

A 1 'att. de VIDON, P. 

2, allee Antoine Becquerel 

BP 90333 

35703 Rennes Cedex 7 
FRANCE 


NOTIFICATION DE TRANSMISSION DU 
RAPPORT DE RECHERCHE INTERNATIONALE 
OU DE LA DECLARATION 

(rfcgle 44.1 du PCT) 


Date d'expedition 

(jour/mois/annee) 29/1 2/2000 


Reference du dossier du deposant ou du mandataire 

6680W0 


POUR SUITE A DONNER 

voir les paragraphes 1 et 4 cl-apres 


Demande internationale n° 

PCT/FR 00/02717 


Date du depot international 
(jour/mois/annee) 29 /Q9 /2000 


Deposant 

FRANCE TELECOM 



2. 



3. 



fxl II est notifie au deposant que le rapport de recherche internationale a ete etabli et lui est transmis ci-joint. 
Depot de modifications et d'une declaration selon I'article 19 : 

Le deposant peut, s'il le souhaite, modifier les revendications de la demande internationale (voir la regie 46): 

Quand? Le delai dans lequel les modifications doivent etre deposees est de deux mois a compter de la date de 

transmission du rapport de recherche internationale ; pour plus de precisions, voir cependant les notes 
figurant sur la feuille d'accompagnement. 

Ou? Directement aupres du Bureau International de I'OMPI 

34, chemin des Colombettes 
1211 Geneve 20, Suisse 
n° de telecopieur: (41-22)740.14.35 

Pour des instructions plus detainees, voir les notes sur la feuille d'accompagnement. 
I I II est notifie au deposant qu'il ne sera pas etabli de rapport de recherche internationale et la declaration a cet effet, prevue 
1 — 1 a Tarticle 1 7,2)a), est transmise ci-joint. 

I I En ce qui concerne la reserve pouvant etre formulee, conformement a la regie 40.2, a regard du paiement d'une ou 
1 — 1 de plusieurs taxes additionnelles, il est notifie au deposant que 

I I la reserve ainsi que la decision y relative ont ete transmises au Bureau international en meme temps que la requete 
1 — 1 du deposant tendant a ce que le texte de la reserve et celui de la decision en question soient notifies aux offices 
designes. 

|~] la reserve n'a encore fait I'objet d'aucune decision; des qu'une decision aura ete prise, le deposant en sera avise. 
Mesure(s) consecutive(s) : II est rappele au deposant ce qui suit: 

Peu apres I'expiration d'un delai de 18 mois a compter de la date de priorite, la demande internationale sera publiee par le 
Bureau international. Si le deposant souhaite eviter ou differer la publication, il doit faire parvenir au Bureau international 
une declaration de retrait de la demande internationale, ou de la revendication de priorite, conformement aux regies 
906/S.1 et 906/S.3, respectivement, avant I'achevement de la preparation technique de la publication internationale. 

Dans un delai de 19 mois a compter de la date de priorite, le deposant doit presenter la demande d'examen preliminaire 
international s'il souhaite que I'ouverture de la phase nationale soit reportee a 30 mois a compter de la date de priorite 
(ou meme au-dela dans certains offices). 

Dans un delai de 20 mois a compter de la date de priorite, le deposant doit accomplir les demarches prescrites pour I'ouverture 
de la phase nationale aupres de tous les offices designes qui n'ont pas ete elus dans la demande d'examen preliminaire 
international ou dans une election ulterieure avant I'expiration d'un delai de 19 mois a compter de la date de priorite ou 
qui ne pouvaient pas etre elus parce qu'ils ne sont pas lies par le chapitre II. 





Norn et adresse postale de r administration chargee de la 
recherche internationale 

Office Europeen des Brevets, P.B. 5818 Patentlaan 2 
Js\\ NL-2280 HV Rijswijk 
% Wjl Tel. (+31-70) 340-2040, Tx. 31 651 epo nl, 
Fax: (+3 1 -70) 340-30 1 6 


Fonctionnaire autorise 

Hans Pettersson 
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NOTES tHkllVES AU FORMULAIRE PCT/ISA/2I 



Les presentes notes eont destinees a donner les instructions essentielles concernant le depot de modifications selon 
l article 19. Les notes sont fondees sur les exigences du Traite de cooperation en matiere de brevets (PCT), du reglement 
d'execution et des instructions administrates du PCT. En cas de divergence entre les presentes notes et ces exigences, ce sont 
ces demieres qui priment. Pour de plus ampies renseignements, on peut aussi oonsulter le Guide du deposant du PCT, qui est une 
publication de TOM PI. 



Dans tee presentes notes, les termes "article", "regie" et Instruction" renvoient aux dispositions du traite, de son reglement 
d'execution et des instructions admin istratives du PCT, respectivement. 



INSTRUCTIONS CONCERNANT LES MODIFICATIONS SELON L' ARTICLE 19 

Apres reception du rapport de recherche Internationale, le deposant a la possibility de modifier une fois les revendications 
de la demande Internationale. On notera cependant que, comme toutes les parties de la demande internationals (revendications, 
description et dessins) peuvent etre modifiees au cours de la procedure dexamen preliminaire intemationaJ, il n est generaJement 
pas necessaire de deposer de modifications des revendications selon ('article 1 9 sauf, par example, au cas ou le deposant souhaite 
que ces demieres soient publiees aux fins dune protection proviso! re ou a une autre raison de modifier les revendications avarrt 
la publication intemationale. En outre, il convient de rappeler que I'obtention d'une protection provisoire n'est possible que dans 
certains Etats. 



Quelle* parties de la demande Intemationale peuvent etre modrflees? 

Selon Particle 19, les revendications exclusivement. 

Durant la phase intemationale, les revendtcations peuvent aussi etre modifiees (ou modifiees a nouveau) selon 

I'artide 34 aupres de ( administration chargee de I'examen preliminaire international. La description et les dessins 

ne peuvent etre modifiees que selon I'article 34 aupres de I'administration chargee de Texamen preliminaire international. 

Lors de I'ouverture de la phase nationals, toutes les parties de la demande internal ion ale peuvent etre modifiees selon 
Particle 28 ou, le cas echeant, selon I'article 41 . 



Quand? Dans un delai de deux mots a compter de la date de transmission du rapport de recherche intemationale ou de 1 6 mois 

a compter de (a date de priorrte, selon Cache ance la plus tardive. II convient cependant de noter que les modifications 
seront reputees avoir ete recues en temps voutu si eltes parviennent au Bureau intemationaJ apres I'expiration du d6lai 
applicable mats avant I'achevement de la preparation technique de la publication intemationale (regie 46.1). 



Ou ne pas deposer les modifications? 

Les modifications ne peuvent dtre deposees qu 'aupres du Bureau intemationaJ; el les ne peuvent etre deposees nt 
aupres de ('office recepteur ni aupres de I'administration chargee de la recherche intemationale (regie 46.2). 

Lorsqu'une demande d'examen preliminaire international a ete/est deposee, voir plus loin. 



Comment? Soit en supprimant entierement une ou plusieurs revendications, soit en ajoutant une ou plusieurs revendications 
nouvelles ou encore en modifiant le texte d'une ou de plusieurs des revendications telles que deposees. 

Une feuille de rempiacement doit dtre remise pour chaque feuille des revendications qui, en raison d'une ou de 
plusieurs modifications, differe de la feuille inrtiaJement deposee. 

Toutes les revendtcations figurant sur une feuille de rempiacement doivent dtre numerotees en chiffres arabes. Si 
une revendication est supprimee, il n'est pas obligatoire de re numerator les autres revendications. Chaque fois que 
des revendications sont renumerotees, elles doivent I'dtre de facon continue (instruction 205. b)). 

Les modifications doivent dtre effectuees dans la langue dans laquetle la demande Internationale eat publlee. 



Quels documents dolvent/peuvent accompagner les modifications? 
Lettre (Instruction 205.b)): 

Les modifications doivent dtre accompagnees d'une lettre. 

La lettre ne sera pas publiee avec ta demande intemationale et les revendications modifiees. Elle ne doit pas dtre 
confondue avec la "declaration selon I'article 19.1)** (voir plus loin sous "Declaration selon I'article 19.1)"). 

La lettre doit dtre redigee en anglais ou en f rancals, au cholx du deposant. Cependant, si la langue de la demande 
Internationale est ranglals, la lettre dolt etre redigee en anglais; si la langue de la demande Internationale est le 
francais, la lettre doit dtre redigee en francais. 
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La lettre doit indiquor lea differences exist ant entre les revendications telles que deposees et les revendications telles 
que modifiees. Elle doit indiquer en particulier, pour chaque reven dication figurant dans la demande internationale 
(etant entendu que des indications identiques concemant plusieurs revendications peuvent dtre groupees), si 

i) la revendication n est pas modifiee; 

ii) la revendication est supprimee; 

iii) la revendication est nouvelle; 

rv) la revendication remplace une ou plusieurs revendications telles que deposees; 

v) la revendication est le resultat de ia division d'une revendication telle que deposee. 



Les examples sulvants lllustrent la manlere dont les modifications dol vent dtre expllquees dans la lettre 
d'acoompagnement: 

1 [Lorsque le nombre des revendications deposees initialement s'elevart a 48 et qu'a la suite d'une modification de 
oertaines revendications il s'eleve a 51 J: 

"Revendications 1 a 1 5 remplacees par les revendications modifiees portant les memes numeros; revendications 
30, 33 et 36 pas modifiees; nouvelles revendications 49 a 51 ajoutees." 

2. [Lorsque le nombre des revendications deposees initiaJement s'elevart a 1 5 et qu'a la suite d'une modification de 
toutes les revendications ii s'eleve a 11 ) : 

Revendications 1 a 15 remplacees par les revendications modifiees 1 a 11 • 

3. [Lorsque le nombre des revendications deposees initialement s'elevait a 1 4 et que les modifications consistent a 
supprimer certaines revendications et a en ajouterde nouvelles]: 

•Revendications 1 a 6 et 1 4 pas modifiees; revendications 7 a 1 3 supprimees; nouvelles revendications 1 5,1 6 et 
17 ajoutees." ou 

"Revendications 7 a 13 supprimees; nouvelles revendications 15, 16 et 17 ajoutees; toutes les autres revendications 
pas modifiees." 



4. [Lorsque plusieurs sortes de modifications sont faites]: 

■Revendications 1-10 pas modifiees; revendications 11 a 13, 18 et 19 supprimees; revendiations 14, 15 et 16 
remplacees par la revendication modifiee 1 4; revendication 1 7 divi see en revendications modifiees 1 5, 1 6 et 1 7; 
nouvelles revendications 20 et 21 ajoutees.' 



"Declaration salon Particle 19.1)" (Regie 46.4) 

Les modifications peuvent etre accompagnees d'une declaration expliquant les modifications et precisant I'incidence 
que ces demieres peuvent avoir sur la description et sur les dessins (qui ne peuvent pas etre modifies selon 
I'article 19.1)). 

La declaration sera pubiiee avec la demande Internationale et les revendications modifiees. 
Elle dolt etre red I gee dans la langue dans laquelle la demandelntematlonale est pubiiee. 

Elle doit etre suooinote (ne pas depasser 500 mots si elle est etablie ou traduite en anglais). 

Elle ne doit pas etre confondue avec la lettre expliquant les differences existant entre les revendications telles que 
deposees et les revendications telles que modifiees, et ne la remplace pas. Elle doit figurer sur une feuille distincte et 
doit etre munie dun titre permettant de I'identifier comme telle, constitue de preference des mots "Declaration selon 
rarticle19.1)' 

Elle ne doit contenir aucun commentaire denigrant relatif au rapport de recherche internationale ou a la pertinence des 
citations que ce dernier contient. Elle ne peut se referer a des citations se rapportant a une revendication donnee et 
oontenues dans le rapport de recherche internationale qu'en relation avec une modification de oette revendication. 



Consequence du fait qu'une demande d'examen preliminaire international alt deja ete presentee 

Si, au moment du depot de modifications effectuees en vertu de Particle 19, une demande d'examen preliminaire 
international a deja ete presentee, le deposant doit de preference, lors du depot des modifications aupres du Bureau 
international, deposer egalement une copie de ces modifications aupres de Tadministration chargee de Texamen 
preliminaire international (voir la regie 62.2a), premiere phrase). 



Consequence au regard de la traduction de la demande Intematlonalelors de I'ouverture de la phase natlonale 

L'attention du deposant est appelee sur le fart qu il peut avoir a remettre aux offices designes ou elus, lors de I'ouverture 
de la phase nationale, une traduction des revendications telles que modifiees en vertu de rarticle 19 au lieu de la 
traduction des revendications telles que deposees ou en plus de celle-ci. 

Pour plus de precisions sur les exigences de chaque office designe ou elu, voir le volume II du Guide du deposant 
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TRAITE DE COl^RATION EN MATIERE DE BREj^S 

PCT 



RAPPORT DE RECHERCHE INTERNATIONALE 
(article 18 et regies 43 et 44 du PCT) 



Reference du dossier du deposant ou 
du mandataire 

6680WO 


POUR SUITE voir ,a notification de transmission du rapport de recherche Internationale 
(formulalre PCT/ISA/220) et, le cas echeant, le point 5 ci-apres 

A DONNER 


Demande intemationale n° 

PCT/FR 00/02717 


Date du depot international (jour/mois/annee) 

29/09/2000 


(Date de priorite (la plus ancienne) 
(jour/mois/annee) 

01/10/1999 


Deposant 

FRANCE TELECOM 



Le present rapport de recherche intemationale, etabli par {'administration chargee de la recherche intemationale, est transmis au 
deposant conformement a I'article 18. Une copie en est transmise au Bureau international. 

Ce rapport de recherche Internationale comprend 3 feuilles. 

[X] II est aussi accompagne d'une copie de chaque document relatif a Petat de la technique qui y est cite. 



1 . Base du rapport 

a. En ce qui concerne la langue, la recherche international a ete effectuee sur la base de la demande intemationale dans la 
langue dans laquelle elle a ete deposee, sauf indication contraire donnee sous le meme point. 



2. 
3. 



□ 



la recherche intemationale a ete effectuee sur la base d'une traduction de la demande intemationale remise a Padministration. 



b. En ce qui concerne les sequences de nucleotides ou d'acides amines divulguees dans la demande intemationale (le cas echeant), 
la recherche intemationale a ete effectuee sur la base du listage des sequences : 
| j contenu dans la demande intemationale, sous forme ecrite. 

deposee avec la demande intemationale, sous forme dechiffrable par ordinateur. 
remis ulterieurement a Padministration, sous forme ecrite. 
remis ulterieurement a Padministration, sous forme dechiffrable par ordinateur. 



□ 
□ 
□ 
□ 

□ 



□ 
□ 



La declaration, selon laquelle le listage des sequences presente par ecrit et fourni ulterieurement ne vas pas au-dela de la 
divulgation faite dans la demande telle que deposee, a ete fournie. 

La declaration, selon laquelle les informations enregistrees sous forme dechiffrable par ordinateur sont identiques a celles 
du listage des sequences presente par ecrit, a ete fournie. 

II a ete estime que certaines revendications ne pouvaient pas faire I'objet d'une recherche (voir le cadre I). 
II y a absence d'unite de I'invention (voir le cadre II). 



4. En ce qui concerne le tttre, 

| | le texte est approuve tel qu'il a ete remis par le deposant. 
[X] Le texte a ete etabli par Padministration et a la teneur suivante: 
PROCEDE, SYSTEME , DISPOSITIF A PROUVER L' AUTHENTICATE D ' UN ENTITE OU 
L' INTEGRITE D'UN MESSAGE 

5. En ce qui concerne I'abrege, 

le texte est approuve tel qu'il a e\e remis par le deposant 

□ le texte (reproduit dans le cadre III) a ete etabli par Padministration conformement a la regie 38.2b). Le deposant peut 
presenter des observations a Padministration dans un delai d'un mois a compter de la date d'expedition du present rapport 
de recherche intemationale. 

6. La figure des desslns a publier avec Pabrege est la Figure n° _ 

| | suggeree par le deposant. 
| | parce que le deposant n'a pas suggere de figure. 
I | parce que cette figure caracterise mieux Pinvention. 



□ 



Aucune des figures 
n'est a publier. 
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Interril^^ 1 Application No 

PCT/FR 00/02717 



A. CLASSIFICATION OF SUBJECT MATTER 

IPC 7 H04L9/32 



According to International Patent Classification (IPC) or to both national classification and IPC 



B. FIELDS SEARCHED 



Minimum documentation searched (classification system followed by classification symbols) 

IPC 7 H04L 



Documentation searched other than minimum documentation to the extent that such documents are included in the fields searched 



Electronic data base consulted during the international search (name of data base and. where practical, search terms used) 

EPO-Internal , WPI Data, PAJ, INSPEC 



C. DOCUMENTS CONSIDERED TO BE RELEVANT 



Category ° Citation of document, with indication, where appropriate, of the relevant passages 



Relevant to claim No. 



EP 0 792 044 A (FUJI XEROX CO LTD) 
27 August 1997 (1997-08-27) 

column 9, line 39 -column 12, line 38 
figure 3 

WO 96 33567 A (GEMPLUS CARD INT ;NACCACHE 
DAVID (FR)) 24 October 1996 (1996-10-24) 

page 2, line 27 -page 4, line 12 
page 15, line 31 -page 18, line 17 

WO 89 11706 A (NCR CO) 

30 November 1989 (1989-11-30) 

page 10, line 2 -page 11, line 6 
page 12, line 21 -page 14, line 6 

-/— 



1,6,11, 

12,15 

2,7,16 



3,4,8,9, 

13,14, 

17,18 



3,4,8,9, 

13,14, 

17,18 



0 



Further documents are listed in the continuation of box C. 



10 



Patent family members are listed in annex. 



° Special categories of cited documents : 

•A' document defining the general state of the art which is not 

considered to be of particular relevance 
•E" earlier document but published on or after the international 

filing date 

"L* document which may throw doubts on priority claim(s) or 
which is cited to establish the publication date of another 
citation or other special reason (as specified) 

■O* document referring to an oral disclosure, use. exhibition or 
other means 

•p- document published prior to the international filing date but 
later than the priority date claimed 



"T later document published after the international filing dale 
or priority date and not in conflict with the application but 
cited to understand the principle or theory underlying the 
invention 

•X* document of particular relevance; the claimed invention 
cannot be considered novel or cannot be considered to 
involve an inventive step when the document is taken alone 

•Y* document of particular relevance; the claimed invention 

cannot be considered to involve an inventive step when the 
document is combined with one or more other such docu- 
ments, such combination being obvious to a person skilled 
in the art. 

•&• document member of the same patent family 



Date of the actual completion of the international search 



14 December 2000 



Date of mailing of the international search report 



29/12/2000 



Name and mailing address of the ISA 

European Patent Office, P.B. 5818 Patentlaan 2 
NL - 2280 HV Rijswijk 
Tel. (+31-70) 340-2040. Tx. 31 651 epo nl, 
Fax: (+31-70) 340-3016 



Authorized officer 



Masche, C 
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Citation of document, with indication .where appropriate, of the relevant passages 



Relevant to claim No. 



EP 0 311 470 A (TELEDIFFUSION FSE ; FRANCE 

ETAT (FR); PHILIPS NV (NL) ) 

12 April 1989 (1989-04-12) 

cited in the application 

abstract 

column 12, line 30 -column 13, line 55 

QUISQUATER J -J ET AL: "FAST DECIPHERMENT 
ALGORITHM FOR RSA PUBLIC-KEY CRYPT0SYSTEM" 
ELECTRONICS LETTERS, 
vol . 18, no. 21, 

14 October 1982 (1982-10-14), pages 
905-907, XP000577331 
ISSN: 0013-5194 

page 906, left-hand column, line 32 - line 
61 



1,6,11, 
15 
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Publication 
date 



EP 0792044 



27-08-1997 



WO 9633567 



24-10-1996 



WO 8911706 



30-11-1989 



EP 0311470 



12-04-1989 



JP 
US 



10247905 A 
5987134 A 



FR 
FR 
EP 
JP 
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2733378 A 

2733379 A 
0766894 A 

10506727 T 
5910989 A 



AU 
AU 
CA 
DE 
DE 
DE 
EP 
JP 
US 



622915 B 
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374225 
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FR 2620248 
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AU 2197188 
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PROCEDE , SYSTEME, DISPOSITIF A PROUVER L' AUTHENTICITE D'UNTENTITE OU 
L'lNTEGRITE D'UN MESSAGE 

La presente invention concerne les procedes, les systemes ainsi que les 
dispositifs destines a prouver F authenticity d'une entite et/ou l'integrite 
et/ou P authenticity d'un message. 

Le brevet EP 0 31 1 470 Bl dont les inventeurs sont Louis Guillou et Jean- 
Jacques Quisquater decrit un tel procede. On y fera ci-apres reference en le 
designant par les termes : "brevet GQ" ou " procede GQ"- Par la suite on 
designera parfois par "GQ2'\ "invention GQ2" ou "technologie GQ2" la 
presente invention. 

Selon le procede GQ, une entite appelee " autorite de confiance " attribue 
une identite a chaque entite appelee " temoin " et en calcule la signature 
RSA; durant un processus de personnalisation, V autorite de confiance 
donne identite et signature au temoin. Par la suite, le temoin proclame : 
" Void mon identite ; j'en connais la signature RSA. " Le temoin prouve 
sans la reveler qu'il connait la signature RSA de son identite. Grace a la cle 
publique de verification RSA distribute par Tautorite de confiance, vne 
entite appelee " controleur 99 verifie sans en prendre connaissance que la 
signature RSA correspond a 1' identite proclamee. Les mecanismes utilisant 
le procede GQ se deroulent " sans transfert de connaissance 99 . Selon le 
procede GQ, le temoin ne connait pas la cle privee RSA avec laquelle 
T autorite de confiance signe un grand nombre d'identites. 
La technologie GQ precedemment decrite fait appel a la technologie RSA. 
Mais si la technologie RSA depend bel et bien de la factorisation du module 
n ? cette dependance n ? est pas une equivalence, loin s'en faut, comme le 
demontrent les attaques dites "multiplicatives" contre les diverses normes 
de signature numerique mettant en oeuvre la technologie RSA. 
L'objectif de la technologie GQ2 est double : d'une part, ameliorer les 
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performances par rapport a la technologie RSA ; d' autre part, eviter les 
problemes inherents a la technologie RSA; La connaissance de la cle privee 
GQ2 est equivalente a la connaissance de la factorisation du module n. 
Toute attaque au niveau des triplets GQ2 se ramene a la factorisation du 
module n : il y a cette fois equivalence. Avec la technologie GQ2, la charge 
de travail est reduite, tant pour Tentite qui signe ou qui s'authentifie que 
pour celle qui controle. Grace a un meilleur usage du probleme de la 
factorisation, tant en securite qu'en performance, la technologie GQ2 evite 
les inconvenients presentes par la technologie RSA. 

Le procede GQ met en oeuvre des calculs modulo des nombres de 512 bits 
ou davantage. Ces calculs concernent des nombres ayant sensiblement la 
meme taille eleves a jies puissances de l'ordre de 2 16 + 1. Or les 
infrastructures microelectroniques existantes, notamment dans le domaine 
des cartes bancaires, font usage de microprocesseurs auto-programmables 
monolithiques depourvus de coprocesseurs arithmetiques* La charge de 
travail liee aux multiples operations arithmetiques impliquees par des 
procedes tels que le procede GQ, entraine des temps de calcul qui dans 
certains cas s'averent penalisant pour les consommateurs utilisant des cartes 
bancaires pour acquitter leurs achats. II est rappele ici, qu'en cherchant a 
accroitre la securite des cartes de paiement, les autorites bancaires posent 
un probleme particulierement delicat a resoudre. En effet, il faut traiter deux 
questions apparemment contradictoires : augmenter la securite en utilisant 
des cles de plus en plus longues et distinctes pour chaque carte tout en 
evitant que la charge de travail n' entraine des temps de calcul prohibitifs 
pour les utilisateurs. Ce probleme prend un relief particulier dans la mesure 
ou, en outre, il convient de tenir compte de T infrastructure en place et des 
composants microprocesseurs existants. 

La technologie GQ2 a pour objet d'apporter une solution a ce probleme tout 
en renfor9ant la securite. 
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Procede 

Plus particulierement, V invention concerne un procede destine a prouver a 
une entite controleur, 

- F authenticity d'une entite et/ou 

- l'integrite d'un message M associe a cette entite. 

Cette preuve est etablie au moyen de tout ou partie des parametres suivants 
ou derives de ceux-ci: 

- m couples de valeurs privees Q l9 Q 2 , ... Q m et publiques G 1? G 2 , ... 
G m (m etant superieur ou egal al), 

- un module public n constitue par le produit de f facteurs premiers 
Pi> P2* Pf (f etant superieur ou egal a 2), 

Ledit module et lesdites valeurs privees et publiques sont lies par des 
relations du type : 

Gi . Qi v s 1 . mod n ou Gj = Qj v mod n 

v designant un exposant public de la forme : 

v = 2 k 

ou k est un parametre de securite plus grand que 1 . 

Lesdites m valeurs publiques Gi etant les carres & 2 de m nombres de base 
gi,» 82,? g m distincts inferieurs aux f facteurs premiers p 1? p 2 , ... p f ; 
lesdits f facteurs premiers p u p 2 , ... Pf et/ou lesdits m nombres de base g li? 
g2, ? • • • gm etant produits de telle sorte que les conditions suivantes soient 
satisfaites. 

Premiere condition : 

Selon la premiere condition, chacune des equations : 

x v = gj 2 mod n (1) 
a des solutions en x dans l'aimeau des entiers modulo n. 
Deuxieme condition : 

Selon la deuxieme condition, dans le cas ou Gj = Qi V mod n, parmi les m 
nombres q t obtenus en elevant Q t au carre modulo n ? k-1 fois de rang, Tun 
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d'entre eux est different de ± g x (c'est-a-dire est non trivial). 

Selon la deuxieme condition, dans le cas ou G 5 . Q> v = 1 mod n, parmi les m 

nombres qi obtenus en elevant l'inverse de Q { modulo n au carre modulo n, 

k-1 fois de rang, Tun d'entre eux est different de ± g s (c'est-a-dire est non 

trivial). 

II est ici precise que selon une notation courante ± g s represente les nombres 
& et n-a . 

Troisieme condition : 

Selon la troisieme condition, parmi les 2m equations : 

x 2 s gj mod n (2) 

x 2 = - gimod n (3) 
au moins Tune d'entre elles a des solutions en x dans l'anneau des entiers 
modulo n. 

Le procede met en ceuvre selon les etapes suivantes une entite appelee 
temoin disposant des f facteurs premiers p s et/ou des m nombres de base g f 
et/ou des parametres des restes chinois des facteurs premiers et/ou du 
module public n et/ou des m valeurs privees Qi et/ou des f.m composantes 
Qi j (Qi j = Qj mod pj) des valeurs privees Qi et de Texposant public v . 
Le temoin calcule des engagements R dans Fanneau des entiers modulo n. 
Chaque engagement est calcule : 

• soit en effectuant des operations du type 

R = r v mod n 
ou rest un alea tel que 0 < r< n, 

• soit 

en effectuant des operations du type 
Ri s rj V mod Pi 

ou r t est un alea associe au nombre premier pj tel que 0 < r s < Pi , chaque r t 
appartenant a une collection d'aleas {r x , r 2 , r f } , 

•• puis en appliquant la methode des restes chinois. 
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Le temoin re9oit un ou plusieurs defis d. Chaque defi d comporte m entiers 
dj ci-apres appeles defis elementaires. Le temoin calcule a partir de chaque 
defi d une reponse D, 

• soit en effectuant des operations du type : 

5 D = r . Q, dl . Q 2 d2 . ... Q m dm mod n 

• soit 

en effectuant des operations du type : 

D, = rj . Q M dl . Q i>2 d2 . ... Qi, m dm mod Pi 
puis en appliquant la methode des restes chinois. 
10 Ledit precede est tel quMl y a autant de reponses D que de defis d que 

d' engagements R. Chaque groupe de nombres R, d, D constitue un triplet 
note {R, d, D}. 

Cas de la preuve de Fauthenticite d'une entite 
Dans une premiere variante de realisation le procede selon Finvention est 
15 destine a prouver Fauthenticite d'une entite appelee demonstrateur a ime - 

entite appelee controleur. Ladite entite demonstrateur comprend le temoin. 
Lesdites entites demonstrateur et controleur executent les etapes suivantes: 

• etape 1 : acte d' engagement R 

A chaque appel, le temoin calcule chaque engagement R en appliquant le 
20 processus specifie ci-dessus. Le demonstrateur transmet au controleur tout 

ou partie de chaque engagement R. 

• etape 2 : acte de defi d 

Le controleur, apres avoir re<?u tout ou partie de chaque engagement R, 
produit des defis d en nombre egal au nombre d' engagements R et transmet 
25 les defis d au demonstrateur. 

• etape 3 : acte de reponse D 

Le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specifie ci-dessus. 

• etape 4 : acte de controle 
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Le demonstrateur transmet chaque reponse D au controleur. 

Premier cas : le demonstrateur a transmis une partie de chaque 

engagement R 

Dans le cas ou le demonstrateur a transmis une partie de chaque 
engagement R, le controleur, disposant des m valeurs publiques G l9 G 2 , ... 
G m , calcule a partir de chaque defi d et de chaque reponse D un 
engagement reconstruit R 5 satisfaisant a une relation du type : 

R> s G x dl . G 2 d2 . ... G m dm . D v mod n 
ou a une relation du type, 

R' = D v / G 1 dl . G 2 d2 . ... G m dm . mod n . 
Le controleur verifie que chaque engagement reconstruit R' reproduit tout 
ou partie de chaque engagement R qui lui a ete transmis, 
Deuxieme cas : le demonstrateur a transmis Fintegralite de chaque 
engagement R 

Dans le cas ou le demonstrateur a transmis Fintegralite de chaque 
engagement R, le controleur, disposant des m valeurs publiques G l9 G 2 , ... 
G m , verifie que chaque engagement R satisfait a une relation du type : 

R = d dl . G 2 d2 . ... G m dm . D v mod n 
ou a une relation du type, 

R es D v / G, dl . G 2 * .. . G m dm . mod n . 
Cas de la preuve de Pintegrite d'un message 
Dans une deuxieme variante de realisation susceptible d'etre combinee avec 
la premiere, le precede selon Finvention est destine a prouver a une entite 
appelee controleur Fintegrite d'un message M associe a une entite appelee 
demonstrateur. Ladite entite demonstrateur comprend le temoin. 
Lesdites entites demonstrateur et controleur executent les etapes suivantes: 

• etape 1 : acte d'engagement R 
A chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus specific ci-dessus. 
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• etape 2 : acte de defi d 

Le demonstrateur applique une fonction de hachage h ayant comme 
arguments le message M et tout ou partie de chaque engagement R pour 
calculer au moins un jeton T. Le demonstrateur transmet le jeton T au 
controleur. Le controleur, apres avoir regu un jeton T, produit des defis d en 
nombre egal au nombre d' engagements R et transmet les defis d au 
demonstrateur. 

• etape 3 : acte de reponse D 

Le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specifie ci-dessus. 

• etape 4 : acte de controle 

Le demonstrateur transmet chaque reponse D au controleur. Le controleur, 
disposant des m valeurs publiques G 1? G 2 , ... G m , calcule a partir de chaque 
defi d et de chaque reponse D un engagement reconstruit R' satisfaisant a 
une relation du type : 

R' = G, dl . G 2 d2 . ... G m dm . D v mod n 
ou a une relation du type : 

R' = D v / G x 61 . G 2 d2 . ... G m dm . mod n 
Puis le controleur applique la fonction de hachage h ayant comme 
arguments le message M et tout ou partie de chaque engagement 
reconstruit R' pour reconstruire le jeton T\ Puis le controleur verifie que le 
jeton T' est identique au jeton T transmis. 

Signature numerique d'un message et preuve de son authenticite 
Dans une troisieme variante de realisation susceptible d'etre combinee aux 
deux precedentes, le procede selon Tinvention 1 est destine a produire la 
signature numerique d'un message M par une entite appelee entite 
signataire. Ladite entite signataire comprend le temoin. 
Operation de signature 

Ladite entite signataire execute une operation de signature en vue d'obtenir 
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un message signe comprenant : 

- le message M, 

- les defis d et/ou les engagements R, 

- les reponses D. 

Ladite entite signataire execute V operation de signature en mettant en 
oeuvre les etapes suivantes : 

• etape 1 : acte d'engagement R 

A chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus specifie ci-dessus. 

• etape 2 : acte de defi d 

Le signataire applique une fonction de hachage h ayant comme arguments 
le message M et chaque engagement R pour obtenir un train binaire. Le 
signataire extrait de ce train binaire des defis d en nombre egal au nombre 
d' engagements R. 

• etape 3 : acte de reponse D 

Le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specifie ci-dessus. 
Operation de controle 

Pour prouver P authenticity du message M, une entite, appelee controleur, 
controle le message signe. Ladite entite controleur disposant du message 
signe execute une operation de controle en procedant comme suit. 
• cas ou le controleur dispose des engagements R, des defis d, des 
reponses D, 

Dans le cas ou le controleur dispose des engagements R, des defis d, des 
reponses D le controleur verifie que les engagements R, les defis d et les 
reponses D satisfont a des relations du type 

R = G, dl . G 2 d \ ... G m dm . D v mod n 
ou a des relations du type : 

R = D V /Gx dl .G 2 d2 . ... G m dm . modn 
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Puis le controleur verifie que le message M, les defis d et les engagements 
R satisfont a la fonction de hachage 

d = h (message, R) 

• cas ou le controleur dispose des defis d et des reponses D 

Dans le cas ou le controleur dispose des defis d et des reponses D, le 
controleur reconstruit, a partir de chaque defi d et de chaque reponse D, des 
engagements R' satisfaisant a des relations du type : 

R' = G x dl . G 2 d2 . ... G m dm . D v mod n 
ou a des relations du type : 

R'=DVG, dl .G 2 d2 . ...G m dm . modn 
Puis le controleur verifie que le message M et les defis d satisfont a la 
fonction de hachage 

d = h (message, R') 

• cas ou le controleur dispose des engagements R et des reponses D 

Dans le cas ou le controleur dispose des engagements R et des reponses D, 
le controleur applique la fonction de hachage et reconstruit d' 

d' = h (message, R) 
Puis, controleur verifie que les engagements R, les defis d' et les reponses 
D, satisfont a des relations du type : 

R = G x d l . G 2 d \ ... G m d m . D v mod n 
ou a des relations du type : 

R = D V /G, d 1 . G 2 d 2 . ... G m d m . mod n 
Systeme 

La presente invention concerne egalement un systeme destine a prouver a 
un serveur controleur, 

- l'authenticite d'une entite et/ou 

- 1'integrite d'un message M associe a cette entite. 

Cette preuve est etablie au moyen de tout ou partie des parametres suivants 
ou derives de ceux-ci: 
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- m couples de valeurs privees Q 1? Q 2 , ... Q m et publiques G u G 2 , ... 
G m (m etant superieur ou egal al), 

- un module public n constitue par le produit de f facteurs premiers 
Pi> P2> ••• Pf (f stent superieur ou egal a 2), 

Ledit module et lesdites valeurs privees et publiques sont lies par des 
relations du type : 

G s . Qi v = 1 . mod n ou G| = mod n 

v designant un exposant public de la forme : 

v = 2 k 

ou k est un parametre de securite plus grand que 1 . 

Lesdites m valeurs publiques Gj etant les carres g 2 de m nombres de base 
gi, 9 g2, ? ••• gmdistincts inferieurs aux f facteurs premiers p l9 p 2 , ... p f ; 
lesdits f facteurs premiers p l5 p 2 , ... p f et/ou lesdits m nombres de base g lt , 
g2, 5 • • • gm etant produits de telle sorte que les conditions suivantes soient 
satisfaites. 

Premiere condition : 

Selon la premiere condition, chacune des equations : 

x v = mod n (1) 
a des solutions en x dans l'anneau des entiers modulo n. 
Deuxieme condition : 

Selon la deuxieme condition, dans le cas ou Gi = Q s v mod n, parmi les m 

nombres q, obtenus en elevant Q s au carre modulo n, k-1 fois de rang, Tun 

d'entre eux est different de ± gj (c'est-a-dire est non trivial). 

Selon la deuxieme condition, dans le cas ou G s . Qj v s 1 mod n, parmi les m 

nombres q t obtenus en elevant Finverse de Qi modulo n au carre modulo n, 

k-1 fois de rang, Pun d'entre eux est different de ± gj (c'est-a-dire est non 

trivial). 

II est ici precise que selon une notation courante ± gjrepresente les nombres 
&etn-gi. 
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Troisieme condition : 

Selon la troisieme condition, parmi les 2m equations : 

x 2 = gj mod n (2) 
x 2 = - gi mod n (3) 

au moins Tune d'entre elles a des solutions en x dans Fanneau des entiers 
modulo n. 

Ledit systeme comprend un dispositif temoin, notamment contenu dans un 
objet nomade se presentant par exemple sous la forme d'une carte bancaire 
a microprocesseur. Le dispositif temoin comporte une zone memoire 
contenant les f facteurs premiers p s et/ou les parametres des restes chinois 
des facteurs premiers et/ou le module public n et/ou les m valeurs privees 
Qi et/ou les f.m composantes Q^- (Q u s Qiinod p,) des valeurs privees Qj 
et l'exposant public v . Ledit dispositif temoin comporte aussi : 

- des moyens de production d'aleas, ci-apres designes les moyens de 
production d'aleas du dispositif temoin, 

- des moyens de calcul, ci-apres designes les moyens de calcul des 
engagements R du dispositif temoin. 

Les moyens de calcul permettent de calculer des engagements R dans 
Fanneau des entiers modulo n . Chaque engagement est calcule : 
• soit en effectuant des operations du type 
R = r v mod n 

ou rest un alea produit par les moyens de production d'aleas, r etant tel que 
0<r<n, 

• soit en effectuant des operations du type 
Ri = ri V mod pi 

ou r s est un alea associe au nombre premier Pi tel que 0 < r, < Pi , chaque r t 
appartenant a une collection d'aleas {r x , r 2 , ... r f } produits par les moyens 
de production d'aleas, puis en appliquant la methode des restes chinois . 
Ledit dispositif temoin comporte aussi : 
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- des moyens de reception, ci-apres designes les moyens de reception 
des defis d du dispositif temoin, pour recevoir un ou plusieurs defis d ; 
chaque defi d comportant m entiers dj ci-apres appeles defis elementaires ; 

- des moyens de calcul, ci apres designes les moyens de calcul des 
reponses D du dispositif temoin, pour calculer a partir de chaque defi d une 
reponse D, 

• soit en effectuant des operations du type : 
D = r . Q, dl . Q 2 d2 - . - Qm dm mod n 

• soit en effectuant des operations du type : 
Di = r, . Q M dl . Q U2 d2 - Qum dm mod p„ 

puis en appliquant la methode des restes chinois, 

Ledit dispositif temoin .comporte aussi des moyens de transmission pour 
transmettre un ou plusieurs engagements R et une ou plusieurs reponses D. 
II y a autant de reponses D que de defis d que d'engagements R. Chaque 
15 groupe de nombres R, d, D constitue un triplet note {R, d, D}. 

Cas de la preuve de Pauthenticite d'une entite 
Dans une premiere variante de realisation le systeme selon l'invendon est 
destine a prouver l'authenticite d'une entite appelee demonstrateur a une 
entite appelee controleur, 

Ledit systeme est tel qu'il comporte un dispositif demonstrateur associe a 
1' entite demonstrateur. Ledit dispositif demonstrateur est interconnecte au 
dispositif temoin par des moyens d' interconnexion. II peut se presenter 
notamment sous la forme de microcircuits logiques dans un objet nomade, 
par exemple sous la forme d'un microprocesseur dans une carte bancaire a 
25 microprocesseur. 

Ledit systeme comporte aussi un dispositif controleur associe a 1' entite 
controleur. Ledit dispositif controleur se presente notamment sous la forme 
d'un terminal ou d'un serveur distant. Ledit dispositif controleur comporte 
des moyens de connexion pour le connecter electriquement; 
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electromagnetiquement, optiquement ou de maniere acoustique, notamment 
via un reseau de communication informatique, au dispositif demonstrateur ; 
Ledit sy steme permet d'executer les etapes suivantes : 

• etape 1 : acte d 5 engagement R 

A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
ci-dessus. Le dispositif temoin comporte des moyens de transmission, ci- 
apres designes les moyens de transmission du dispositif temoin, pour 
transmettre tout ou partie de chaque engagement R au dispositif 
demonstrateur, via les moyens d'interconnexion. Le dispositif 
demonstrateur comporte aussi des moyens de transmission, ci-apres 
designes les moyens d& transmission du demonstrateur, pour transmettre 
tout ou partie de chaque engagement R au dispositif controleur, via les 
moyens de connexion. 

• etape 2 : acte de defi d 

Le dispositif controleur comporte des moyens de production de defis pour 
produire, apres avoir re<?u tout ou partie de chaque engagement R, des defis 
d en nombre egal au nombre d' engagements R. Le dispositif controleur 
comporte aussi des moyens de transmission, ci-apres designes les moyens 
de transmission du controleur, pour transmettre les defis d au 
demonstrateur, via les moyens de connexion. 

• etape 3 : acte de reponse D 

Les moyens de reception des defis d du dispositif temoin, regoivent chaque 
defi d provenant du dispositif demonstrateur, via les moyens 
d'interconnexion. Les moyens de calcul des reponses D du dispositif 
temoin, calculent les reponses D a partir des defis d en appliquant le 
processus specifie ci-dessus. 

• etape 4 : acte de controle 

Les moyens de transmission du demonstrateur transmettent chaque reponse 
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D au controleur. Le dispositif controleur comporte aussi : 

- des moyens de calcul, ci-apres designes les moyens de "calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur. 

Premier cas : le demonstrateur a transmis une partie de chaque 
engagement R 

Dans le cas ou les moyens de transmission du demonstrateur ont transmis 
une partie de chaque engagement R, les moyens de calcul du dispositif 
controleur, disposant des m valeurs publiques G l9 G 2 , ... G m , calculent a 
partir de chaque defi d et de chaque reponse D un engagement reconstruit 
R' satisfaisant a une relation du type : 

R' = G, dl . G 2 d2 . ... G m dm . D v mod n 
ou a une relation du type, 

R' a D v / G, dl . G 2 d2 . ... G m dm . mod n 
Les moyens de comparaison du dispositif controleur comparent chaque 
engagement reconstruit R' a tout ou partie de chaque engagement R recu. 
Deuxieme cas : le demonstrateur a transmis l'integralite de chaque 
engagement R 

Dans le cas ou les moyens de transmission du demonstrateur ont transmis 
l'integralite de chaque engagement R, les moyens de calcul et les moyens 
de comparaison du dispositif controleur, disposant des m valeurs publiques 
d, G 2 , ... G m , verifient que chaque engagement R satisfait a une relation 
dutype : 

R = G t dl . G 2 d2 . ... G m dm . D v mod n 
ou a une relation du type, 

R = D V / Gi dl . G 2 d2 . ... G m dm . mod n 
Cas de la preuve de l'integrite d'un message. 
Dans une deuxieme variante de realisation susceptible d'etre combinee avec 
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la premiere, le systeme selon l'invention est destine a prouver a une entite 
appelee controleur Pintegrite d'un message M associe a une entite appelee 
demonstrateur. Ledit systeme est tel qu'il comporte un dispositif 
demonstrateur associe a l'entite demonstrateur. Ledit dispositif 
demonstrateur est interconnect^ au dispositif temoin par des moyens 
d'interconnexion. Ledit dispositif demonstrateur peut se presenter 
notamment sous la forme de microcircuits logiques dans un objet nomade 
par exemple sous la forme d'un microprocesseur dans une carte bancaire a 
microprocesseur. Ledit systeme comporte aussi dispositif controleur associe 
a l'entite controleur. Ledit dispositif controleur se presente notamment sous 
la forme d'un terminal ou d'un serveur distant. Ledit dispositif controleur 
comporte des moyens tie connexion pour le connecter electriquement; 
electromagnetiquement, optiquement ou de maniere acoustique, notamment 
via un reseau de communication informatique, au dispositif demonstrateur. 
Ledit systeme execute les etapes suivantes : 

• etape 1 : acte <F engagement R 

A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
ci-dessus. Le dispositif temoin comporte des moyens de transmission, ci- 
apres designes les moyens de transmission du dispositif temoin, pour 
transmettre tout ou partie de chaque engagement R au dispositif 
demonstrateur, via les moyens d'interconnexion. 

• etape 2 : acte de defi d 

Le dispositif demonstrateur comporte des moyens de calcul, ci-apres 
designes les moyens de calcul du demonstrateur, appliquant une fonction de 
hachage h ayant comme arguments le message M et tout ou partie de 
chaque engagement R, pour calculer au moins un jeton T. Le dispositif 
demonstrateur comporte aussi des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif demonstrateur, pour 
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transmettre chaque jeton T, via les moyens de connexion, au dispositif 
controleur. Le dispositif controleur comporte aussi des moyens de 
production de defis pour produire, apres avoir re?u le jeton T, des defis d en 
nombre egal au nombre d' engagements R. Le dispositif controleur 
comporte aussi des moyens de transmission, ci-apres designes les moyens 
de transmission du controleur, pour transmettre les defis d au 
demonstrateur, via les moyens de connexion. 

• etape 3 : acte de reponse D 

Les moyens de reception des defis d du dispositif temoin, re?oivent chaque 
defi d provenant du dispositif demonstrateur, via les moyens 
d' interconnexion. Les moyens de calcul des reponses D du dispositif 
temoin, calculent les responses D a partir des defis d en appliquant le 
processus specifie ci-dessus. 

• etape 4 : acte de controle 

Les moyens de transmission du demonstrateur transmettent chaque reponse 
D au controleur. Le dispositif controleur comporte aussi des moyens de 
calcul, ci-apres designes les moyens de calcul du dispositif controleur, 
disposant des m valeurs publiques G H G 2 , ... G ra , pour d'une part, calculer 
a partir de chaque defi d et de chaque reponse D un engagement reconstruit 
R' satisfaisant a une relation du type : 

R' = G t dl . G 2 d2 . ... G m dm . D v mod n 
ou a une relation du type : 

R> = D v / Gj dl . G 2 d2 . ... G m dm . mod n 
puis d' autre part, calculer en appliquant la fonction de hachage h ayant 
comme arguments le message M et tout ou partie de chaque engagement 
reconstruit R% un jeton T\ 

Le dispositif controleur comporte aussi des moyens de comparaison, ci- 
apres designes les moyens de comparaison du dispositif controleur, pour 
comparer le jeton calcule T' au jeton T re?u. 



WO 01/26279 



17 



PCT/FR00/02717 



Signature numerique d'un message et preuve de son authenticity 

Dans une troisieme variante de realisation susceptible d'etre combinee avec 
Tune et/ou F autre des deux premieres, le systeme selon Finvention est 
destine a prouver la signature numerique d'un message M, ci-apres designe 
le message signe, par une entite appelee entite signataire. 
Le message signe comprend : 

- le message M, 

- les defis d et/ou les engagements R ? 

- les reponses D ; 
Operation de signature 

Ledit systeme est tel qu'il comporte un dispositif signataire associe a 
F entite signataire. Leditr dispositif signataire est interconnect^ au dispositif 
temoin par des moyens d' interconnexion et peut se presenter notamment 
sous la forme de microcircuits logiques dans un objet nomade par exemple 
sous la forme d'un microprocesseur dans une carte bancaire a 
microprocesseur. 

Ledit systeme permet d'executer les etapes suivantes : 

• etape 1 : acte d' engagement R 

A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
ci-dessus. Le dispositif temoin comporte des moyens de transmission, ci- 
apres designes les moyens de transmission du dispositif temoin, pour 
transmettre tout ou partie de chaque engagement R au dispositif signataire, 
via les moyens d' interconnexion. 

• etape 2 : acte de defi d 

Le dispositif signataire comporte des moyens de calcul, ci-apres designes 
les moyens de calcul du dispositif signataire, appliquant une fonction de 
hachage h ayant comme arguments le message M et tout ou partie de 
chaque engagement R, pour calculer un train binaire et extraire de ce train 
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binaire des defis d en nombre egal au nombre d' engagements R. 

• etape 3 : acte de reponse D 
Les moyens de reception des defis d du dispositif temoin, re?oivent chaque 
defi d provenant du dispositif signataire, via les moyens d' interconnexion. 
Les moyens de calcul des reponses D du dispositif temoin, calculent les 
reponses D a partir des defis d en appliquant le processus specifie ci-dessus. 
Le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
les reponses D au dispositif signataire, via les moyens d' interconnexion. 
Operation de controle 

Pour prouver 1' authenticity du message M, une entite appelee controleur, 
controle le message signe. 

Ledit systeme comporte un dispositif controleur associe a P entite 
controleur. Ledit dispositif controleur se presente notamment sous la forme 
d'un terminal ou d'un serveur distant. Ledit dispositif controleur comporte 
des moyens de connexion pour le connecter electriquement, 
electromagnetiquement, optiquement ou de maniere acoustique, notamment 
via un reseau de commxinication informatique, au dispositif signataire. 
Le dispositif signataire associe a V entite signataire comporte des moyens de 
transmission, ci-apres designes les moyens de transmission du dispositif 
signataire, pour transmettre au dispositif controleur, le message signe, via 
les moyens de connexion. Ainsi, le dispositif controleur dispose d'un 
message signe comprenant : 

- le message M, 

- les defis d et/ou les engagements R, 

- les reponses D ; 

Le dispositif controleur comporte : 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 
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- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur. 

• cas ou le dispositif controleur dispose des engagements R, des defis d, 
des reponses D ? 

Dans le cas ou le dispositif controleur dispose des engagements R, des defis 
d, des reponses D, les moyens de calcul et de comparaison du dispositif 
controleur verifient que les engagements R, les defis d et les reponses D 
satisfont a des relations du type 

R= G, dl . G 2 d2 . G m dm . D v mod n 
ou a des relations du type : 

R = D V /G! dl .G 2 d2 . -.G m dm - modn 
Puis, les moyens de calcul et de comparaison du dispositif controleur 
verifient que le message M, les defis d et les engagements R satisfont a la 
fonction de hachage 

d = h (message, R) 

• cas ou le dispositif controleur dispose des defis d et des reponses D 

Dans le cas ou le dispositif controleur dispose des defis d et des reponses D, 
les moyens de calcul du dispositif controleur calculent, a partir de chaque 
defi d et de chaque reponse D, des engagements R' satisfaisant a des 
relations du type : 

R' = G x 61 . G 2 d2 . . . . G m dm • D v mod n 
ou a des relations du type : 

R'eDVG/ 1 .^' 2 .... G m dm . modn 
Puis, les moyens de calcul et de comparaison du dispositif controleur 
verifient que le message M et les defis d satisfont a la fonction de hachage 

d = h (message, R') 

• cas ou le dispositif controleur dispose des engagements R et des 
reponses D 

Dans le cas ou le dispositif controleur dispose des engagements R et des 
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reponses D, les moyens de calcul du dispositif controleur appliquent la 
fonction de hachage et calculent d' tel que 

d' = h (message, R) 
Puis, les moyens de calcul et de comparaison du dispositif controleur 
verifient que les engagements R, les defis d' et les reponses D, satisfont a 
des relations du type : 

R = Gx * l . G 2 d ' 2 . ... G m d ' m . D v mod n 
ou a des relations du type : 

R = D v / Gj dn . G 2 d ' 2 . ... G m d m . mod n 
Dispositif Terminal 
L'invention conceme aussi un dispositif terminal associe a une entite. Le 
dispositif terminal se pr£sente notamment sous la forme d'un objet nomade 
par exemple sous la forme d'une carte bancaire a microprocesseur. Le 
dispositif terminal est destine a prouver a un dispositif controleur : 

- F authenticity de F entite et/ou 

- Fintegrite d'un message M associe a cette entite. 

Cette preuve est etablie au moyen de tout ou partie des parametres suivants 
ou derives de ceux-ci: 

- m couples de valeurs privees Q i9 Q 2 , ... Q m et publiques G l9 G 2 , ... 
G m (m etant superieur ou egal al), 

- un module public n constitue par le produit de f facteurs premiers 
Pi? P2> ••• Pr (f etant superieur ou egal a 2), 

Ledit module et lesdites valeurs privees et publiques sont lies par des 
relations du type : 

Gj . Q| V = 1 . mod n ou G s = Q s v mod n 

v designant un exposant public de la forme : 

v = 2 k 

ou k est un parametre de securite plus grand que 1 . 

Lesdites m valeurs publiques G { etant les carres g s 2 de m nombres de base 
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gi, 5 gv g m distincts inferieurs aux f facteurs premiers p 1? p 2 , p f ; 
lesdits f facteurs premiers p H p 2 , ... p f et/ou lesdits m nombres de base g lt , 
g2, 5 - • gm etant produits de telle sorte que les conditions suivantes soient 
satisfaites. 

Premiere condition : 

Selon la premiere condition, chacune des equations : 

x v = gj 2 mod n (1) 
a des solutions en x dans 1'anneau des entiers modulo n. 
Deuxieme condition : 

Selon la deuxieme condition, dans le cas ou Gj s Q; v mod n, parmi les m 

nombres q { obtenus en elevant Qj au carre modulo n, k-1 fois de rang, Tun 

d'entre eux est different de ± gj (c*est-a-dire est non trivial). 

Selon la deuxieme condition, dans le cas ou G { . Qi V s 1 mod n, parmi les m 

nombres qj obtenus en elevant T inverse de Q s modulo n au carre modulo n, 

k-1 fois de rang, Tun d'entre eux est different de ± gj (c*est-a-dire est non 

trivial). 

II est ici precise que selon une notation courante ± g, represente les nombres 
fietn-a. 

Troisieme condition : 

Selon la troisieme condition, parmi les 2m equations : 

x 2 s gj mod n (2) 

x 2 = - gj mod n (3) 
au moins Tune d'entre elles a des solutions en x dans 1'anneau des entiers 
modulo n. 

Ledit dispositif terminal comprend un dispositif temoin comportant une 
zone memoire contenant les f facteurs premiers pi et/ou les parametres des 
restes chinois des facteurs premiers et/ou le module public n et/ou les m 
valeurs privees Q t et/ou les f.m composantes Qjj (Qi, j = Qimod pj) des 
valeurs privees Q s et Texposant public v . 
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Ledit dispositif temoin comporte aussi : 

- des moyens de production d'aleas, ci-apres designes les moyens de 
production d'aleas du dispositif temoin, 

- des moyens de calcul, ci-apres designes les moyens de calcul des 
engagements R du dispositif temoin, pour calculer des engagements R dans 
l'anneau des entiers modulo n . 

Chaque engagement est calcule : 



ou rest un alea produit par les moyens de production d'aleas, r etant tel que 
0 <r<n, 



ou r { est un alea associe au nombre premier p } tel que 0 < r { < pj , chaque r s 
appartenant a une collection d'aleas {r, , r 2 , ... r f } produits par les moyens 
de production d'aleas, puis en appliquant la methode des restes chinois. 
Le dispositif temoin comporte aussi : 

- des moyens de reception, ci-apres designes les moyens de reception 
des defis d du dispositif temoin, pour recevoir un ou plusieurs defis d ; 
chaque defi d comportant m entiers di ci-apres appeles defis elementaires ; 

- des moyens de calcul, ci apres designes les moyens de calcul des 
reponses D du dispositif temoin, pour calculer a partir de chaque defi d une 
reponse D, 



puis en appliquant la methode des restes chinois. 

Ledit dispositif temoin comporte aussi des moyens de transmission pour 



• soit en effectuant des operations du type 
R = r v mod n 



• soit en eTfectuant des operations du type 
Ri s r^mod pj 
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transmettre un ou plusieurs engagements R et une ou plusieurs reponses D. 
II y a autant de reponses D que de defis d que d' engagements R. Chaque 
groupe de nombres R, d, D constituant un triplet note {R, d, D}. 

Cas de la preuve de Pauthenticite d'une entite 
Dans une premiere variante de realisation le dispositif terminal selon 
F invention est destine a prouver F authenticity d'une entite appelee 
demonstrateur a une entite appelee controleur. 

Ledit dispositif terminal est tel qu'il comporte un dispositif demonstrateur 
associe a F entile demonstrateur. Ledit dispositif demonstrateur est 
interconnect^ au dispositif temoin par des moyens d' interconnexion. II peut 
se presenter notamment sous la forme de microcircuits logiques dans un 
objet nomade par exemple sous la forme d'un microprocesseur dans une 
carte bancaire a microprocesseur. 

Ledit dispositif demonstrateur comporte aussi des moyens de connexion 
pour le connecter electriquement, electromagnetiquement, optiquement ou 
de maniere acoustique, notamment via un reseau de communication 
informatique, au dispositif controleur associe a F entite controleur. Ledit 
dispositif controleur se presente notamment sous la forme d'un terminal ou 
d'un serveur distant. 

Ledit dispositif terminal permet d'executer les etapes suivantes : 

• etape 1 : acte d'engagement R 
A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
ci-dessus. 

Le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif demonstrateur, via les 
moyens d' interconnexion. Le dispositif demonstrateur comporte aussi des 
moyens de transmission, ci-apres designes les moyens de transmission du 
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demonstrateur, pour transmettre tout ou partie de chaque engagement R au 
dispositif controleur, via les moyens de connexion. 

• etapes 2 et 3 : acte de defi d, acte de reponse D 

Les moyens de reception des defis d du dispositif temoin, recoivent chaque 
defi d provenant du dispositif controleur via les moyens de connexion entre 
le dispositif controleur et le dispositif demonstrateur et via les moyens 
d' interconnexion entre le dispositif demonstrateur et le dispositif temoin. 
Les moyens de calcul des reponses D du dispositif temoin, calculent les 
reponses D a partir des defis d en appliquant le processus specific ci-dessus. 

• etape 4 : acte de controle 

Les moyens de transmission du demonstrateur transmettent chaque reponse 
D au dispositif controleur qui procede au controle. 

Cas de la preuve de l'integrite d'un message 
Dans une deuxieme variante de realisation susceptible d'etre combinee a la 
premiere, le dispositif terminal selon l'invention est destine a prouver a une 
entite appelee controleur l'integrite d'un message M associe a une entite 
appelee demonstrateur. Ledit dispositif terminal est tel qu'il comporte un 
dispositif demonstrateur associe a l'entite demonstrateur, ledit dispositif 
demonstrateur est interconnecte au dispositif temoin par des moyens 
d' interconnexion. II peut se presenter notamment sous la forme de 
microcircuits logiques dans un objet nomade par exemple sous la forme 
d'un microprocesseur dans une carte bancaire a microprocesseur. Ledit 
dispositif demonstrateur comporte des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, au dispositif controleur associe a l'entite controleur. Ledit 
dispositif controleur se presente notamment sous la forme d'un terminal ou 
d'un serveur distant. 

Ledit dispositif terminal permet d'executer les etapes suivantes : 
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• etape 1 : acte d'engagement R 

A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specific 
ci-dessus Le dispositif temoin comporte des moyens de transmission, ci- 
apres designes les moyens de transmission du dispositif temoin, pour 
transmettre tout ou partie de chaque engagement R au dispositif 
demonstrateur, via les moyens d' interconnexion. 

• etapes 2 et 3 : acte de defi d, acte de reponse D 

Le dispositif demonstrateur comporte des moyens de calcul, ci-apres 
designes les moyens de calcul du demonstrateur, appliquant une fonction de 
hachage h ayant comme arguments le message M et tout ou partie de 
chaque engagement R^pour calculer au moins un jeton T. Le dispositif 
demonstrateur comporte aussi des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif demonstrateur, pour 
transmettre chaque jeton T, via les moyens de connexion, au dispositif 
controleur. 

Ledit dispositif controleur produit, apres avoir re?u le jeton T, des defis d 
en nombre egal au nombre d' engagements R. 

Les moyens de reception des defis d du dispositif temoin, re^oivent chaque 
defi d provenant du dispositif controleur via les moyens de connexion entre 
le dispositif controleur et le dispositif demonstrateur et via les moyens 
d' interconnexion entre le dispositif demonstrateur et le dispositif temoin. 
Les moyens de calcul des reponses D du dispositif temoin calculent les 
reponses D a partir des defis d en appliquant le processus specifie ci-dessus. 

• etape 4 : acte de controle 

Les moyens de transmission du demonstrateur transmettent chaque reponse 
D au dispositif controleur qui procede au controle. 

Signature numerique d'un message et preuve de son authenticite 
Dans une troisieme variante de realisation susceptible d'etre combinee avec 
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l'une ou l'autre des deux premieres, le dispositif terminal selon l'invention 
est destine a produire la signature numerique d'un message M, ci-apres 
designe le message signe, par une entite appelee entite signataire. 
Le message signe comprend : 

- le message M, 

- les defis d et/ou les engagements R, 

- les reponses D. 

Ledit dispositif terminal est tel qu'il comporte un dispositif signataire 
associe a l'entite signataire. Ledit dispositif signataire est interconnects au 
dispositif temoin par des moyens d' interconnexion. II peut se presenter 
notamment sous la forme de microcircuits logiques dans un objet nomade 
par exemple sous la forme d'un microprocesseur dans une carte bancaire a 
microprocesseur. Ledit dispositif signataire comporte des moyens de 
connexion pour le connecter electriquement, electromagnetiquement, 
optiquement ou de maniere acoustique, notamment via un reseau de 
communication informatique, au dispositif controleur associe a 1' entite 
controleur. Ledit dispositif controleur se presente notamment sous la forme 
d'un terminal ou d'un serveur distant. 
Operation de signature 

Ledit dispositif terminal permet d'executer les etapes suivantes : 

• etape 1 : acte d'engagement R 

A chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
ci-dessus. Le dispositif temoin comporte des moyens de transmission, ci- 
apres designes les moyens de transmission du dispositif temoin, pour 
transmettre tout ou partie de chaque engagement R au dispositif signataire, 
via les moyens d' interconnexion. 

• etape 2 : acte de defi d 

Le dispositif signataire comporte des moyens de calcul, ci-apres designes 
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les moyens de calcul du dispositif signataire, appliquant une fonction de 
hachage h ayant comme arguments le message M et tout ou partie de 
chaque engagement R, pour calculer un train binaire et extraire de ce train 
binaire des defis d en nombre egal au nombre d' engagements R. 

• etape 3 : acte de reponse D 
Les moyens de reception des defis d du dispositif temoin re<?oivent chaque 
defi d provenant du dispositif signataire, via les moyens d'interconnexion. 
Les moyens de calcul des reponses D du dispositif temoin, calculent les 
reponses D a partir des defis d en appliquant le processus specifie ci-dessus. 
Le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
les reponses D au dispositif signataire, via les moyens d'interconnexion. 

Dispositif controleur 
L'invention concerne aussi un dispositif controleur. Le dispositif controleur 
peut se presenter notamment sous la forme d'un terminal ou d'un serveur 
distant associe a une entite controleur. Le dispositif controleur est destine a 
controler : 

- 1' authenticity d'une entite et/ou 

- Tintegrite d'un message M associe a cette entite, 

Cette preuve est etablie au moyen de tout ou partie des parametres suivants 
ou derives de ceux-ci: 

- m couples de valeurs publiques G l9 G 29 ... G m (m etant superieur 

ou egal a 1), 

- un module public n constitue par le produit de f facteurs premiers 
Pi, P2, — Pf (f etant superieur ou egal a 2) inconnus du dispositif controleur 
et de l'entite controleur associe. 

Ledit module et lesdites valeurs privees et publiques sont lies par des 
relations du type : . 

d . Qx = 1 . mod n ou G s = Q^mod n 
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v designant un exposant public de la forme : 

v = 2 k 

ou k est un parametre de securite plus grand que 1 . 

Lesdites m valeurs publiques G t etant les carres g s 2 de m nombres de base 
gi , g2 > ■■ • gm distincts inferieurs aux f facteurs premiers p l9 p 2 , ... Pf ; 
lesdits f facteurs premiers p l9 p 2 , .. . p r et/ou lesdits m nombres de base g^, 
g 2 , gm etant produits de telle sorte que les conditions suivantes soient 
satisfaites. 

Premiere condition : 

Selon la premiere condition, chacune des equations : 

x v ss g, 2 mod n (1) 
a des solutions en x dansTanneau des entiers modulo n. 
Deuxieme condition : 

Selon la deuxieme condition, dans le cas ou G s = Q^mod n, parmi les m 

nombres q t obtenus en elevant Qj au carre modulo n, k-1 fois de rang, l'un 

d'entre eux est different de ± g, (c'est-a-dire est non trivial). 

Selon la deuxieme condition, dans le cas ou G; . Q ; v = 1 mod n, parmi les m 

nombres qj obtenus en elevant l'inverse de Q, modulo n au carre modulo n, 

k-1 fois de rang, l'un d'entre eux est different de ± g, (c'est-a-dire est non 

trivial). 

II est ici precise que selon une notation courante ± gjrepresente les nombres 
gi et n-gj . 

Troisieme condition : 

Selon la troisieme condition, parmi les 2m equations : 

x 2 = giinod n (2) 
x 2 = - gj mod n (3) 

au moins l'une d'entre elles a des solutions en x dans l'anneau des entiers 
modulo n. 

Cas de la preuve de Pauthenticite d'une entite 



WO 01/26279 




PCT/FROO/02717 



Dans une premiere variante de realisation le dispositif controleur selon 
T invention est destine a prouver F authenticity d'une entite appelee 
demonstrateur a une entite appelee controleur. 

Ledit dispositif controleur comporte des moyens de connexion pour le 
connecter electriquement, electromagnetiquernent, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, a un dispositif demonstrateur associee a V entite 
demonstrateur. 

Ledit dispositif controleur permet d'executer les etapes suivantes : 

• etapes 1 et 2 : acte d'engagement R, acte de defi d 

Ledit dispositif controleur comporte aussi des moyens de reception de tout 
ou partie des engagements R provenant du dispositif demonstrateur, via les 
moyens de connexion. 

Le dispositif controleur comporte des moyens de production de defis pour 
produire, apres avoir regu tout ou partie de chaque engagement R, des defis 
d en nombre egal au nombre d' engagements R, chaque defi d comportant 
m entiers d { ci-apres appeles defis elementaires. 

Le dispositif controleur comporte aussi des moyens de transmission, ci- 
apres designes les moyens de transmission du controleur, pour transmettre 
les defis d au demonstrateur, via les moyens de connexion. 

• etapes 3 et 4 : acte de reponse D, acte de controle 
Ledit dispositif controleur comporte aussi : 

- des moyens de reception des reponses D provenant du dispositif 
demonstrateur, via les moyens de connexion 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur. 

Premier cas : le demonstrateur a transmis une partie de chaque 
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engagement R 

Dans le cas ou les moyens de reception du dispositif controleur ont recus 
une partie de chaque engagement R, les moyens de calcul du dispositif 
controleur, disposant des m valeurs publiques G„ G 2 , ... G m , calculent a 
partir de chaque defi d et de chaque reponse D un engagement reconstruit 
R' satisfaisant a une relation du type : 

R' = d dl . G 2 d2 . ... G m dm . D v mod n 

ou a une relation du type, 

R> = D V / G, dl . G 2 d2 . ... G m dm . mod n , 
Les moyens de comparaison du dispositif controleur comparent chaque 
engagement reconstruit R' a tout ou partie de chaque engagement R recu. 
Deuxieme cas : le demonstrateur a transmis l'integralite de chaque 
engagement R 

Dans le cas ou les moyens de reception du dispositif controleur ont recus 
l'integralite de chaque engagement R, les moyens de calcul et les moyens 
de comparaison du dispositif controleur, disposant des m valeurs publiques 
d, G 2 , ... G m , verifient que chaque engagement R satisfait a une relation 
dutype : 

R = Gj dl . G 2 d2 . ... G ro dm . D v mod n 
ou a une relation du type, 

R = D v / Gi dl . G 2 d2 . ... G m dm . mod n 
Cas de la preuve de Pintegrite d'un message 
Dans une deuxieme variante de realisation susceptible d'etre combinee avec 
la premiere, le dispositif controleur selon 1' invention est destine a prouver 
l'integrite d'un message M associe a une entite appelee demonstrateur. 
Ledit dispositif controleur comporte des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, a un dispositif demonstrateur associee a 1' entite 
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demonstrateur. 

Ledit dispositif controleur permet d'executer les etapes suivantes : 

• etapes 1 et 2 : acte d'engagement R, acte de defi d 

Ledit dispositif controleur comporte aussi des moyens de reception de 
5 jetons T provenant du dispositif demonstrateur, via les moyens de 

connexion. Le dispositif controleur comporte des moyens de production de 
defis pour produire, apres avoir re?u le jeton T, des defis d en nombre egal 
au nombre d'engagements R, chaque defi d comportant m entiers d t ci- 
apres appeles defis elementaires. Le dispositif controleur comporte aussi 
10 des moyens de transmission, ci-apres designes les moyens de transmission 

du controleur, pour transmettre les defis d au demonstrateur, via les moyens 
de connexion. 

• etapes 3 et 4 : acte de reponse D, acte de controle 

Ledit dispositif controleur comporte des moyens de reception des reponses 
15 D provenant du dispositif demonstrateur, via les moyens de connexion. 

Ledit dispositif controleur comporte aussi des moyens de calcul, ci-apres 
designes les moyens de calcul du dispositif controleur, disposant des m 
valeurs publiques G l9 G 2 , ... G m5 pour d'une part, calculer a partir de 
chaque defi d et de chaque reponse D un engagement reconstruit R' 
20 satisfaisant a une relation du type : 

R' s G, dl . G 2 d2 . ... G m dm . D v mod n 
ou a une relation du type : 

R'=D V / G y dl . G 2 d2 . ... G m dm . mod n 
puis d' autre part, calculer en appliquant une fonction de hachage h ay ant 
25 comme arguments le message M et tout ou partie de chaque engagement 

reconstruit R% un jeton T\ 

Le dispositif controleur comporte aussi des moyens de comparaison, ci- 
apres designes les moyens de comparaison du dispositif controleur, pour 
comparer le jeton calcule T 5 au jeton T re?u. 
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Signature numerique d'un message et preuve de son authenticity 

Dans une troisieme variante de realisation susceptible d'etre combinee avec 
Tune et/ou P autre des deux premieres, le dispositif controleur selon 
Tinvention est destine a prouver F authenticity du message M en controlant, 
par une entite appelee controleur, un message signe. 

Le message signe, emis par un dispositif signataire associe a une entite 
signataire disposant d'une fonction de hachage h (message, R), comprend: 

- le message M, 

- des defis d et/ou des engagements R, 

- des reponses D ; 
Operation de controle 

Ledit dispositif controlfeur comporte des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, a un dispositif signataire associee a T entite signataire. Ledit 
dispositif controleur re?oit le message signe du dispositif signataire, via les 
moyens de connexion. 
Le dispositif controleur comporte : 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur. 

• cas ou le dispositif controleur dispose des engagements R, des defis d, 
des reponses D, 

Dans le cas ou le dispositif controleur dispose des engagements R, des defis 
d, des reponses D, les moyens de calcul et de comparaison du dispositif 
controleur verifient que les engagements R, les defis d et les reponses D 
satisfont a des relations du type 

R s Gj dl . G 2 d2 . ... G m dra . D v mod n 
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ou a des relations du type : 

R = D V /G, dl .G 2 d2 . ...G m dm . modn 
Puis, les moyens de calcul et de comparaison du dispositif controleur 
verifient que le message M, les defis d et les engagements R satisfont a la 
fonction de hachage : 

d = h (message, R) 

• cas oil le dispositif controleur dispose des defis d et des reponses D 

Dans le cas ou le dispositif controleur dispose des defis d et des reponses D, 
les moyens de calcul du dispositif controleur calculent, a partir de chaque 
defi d et de chaque reponse D, des engagements R' satisfaisant a des 
relations du type : 

R' = G, dl . G 2 d2 . ... G m dm . D v mod n 
ou a des relations du type : 

R> = D v / Gt 61 • G 2 d \ ... G m dm . mod n 
puis, les moyens de calcul et de comparaison du dispositif controleur 
verifient que le message M et les defis d satisfont a la fonction de hachage 

d = h (message, R') 

* cas ou le dispositif controleur dispose des engagements R et des 
reponses D 

Dans le cas ou le dispositif controleur dispose des engagements R et des 
reponses D, les moyens de calcul du dispositif controleur appliquent la 
fonction de hachage et calculent d' tel que 

d 5 = h (message, R) 
Puis, les moyens de calcul et de comparaison du dispositif controleur 
verifient que les engagements R, les defis d' et les reponses D, satisfont a 
des relations du type : 

R = G, d l . G 2 d 2 . ... G m d m . D v mod n 
ou a des relations du type : 
R s D v / G, d 1 . G 2 d \ ... G m d ' m . mod n 
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Description 

Les objectifs des schemas GQ sont Tauthentification dynamique d'entites et 
de messages ainsi que la signature numerique de messages. Ce sont des 
schemas « sans transfer! de connaissance ». Une entite prouve : elle connait 
un ou plusieurs nombres prives. Une autre entite controle : elle connait le 
ou les nombres publics correspondants. L 1 entite qui prouve veut convaincre 
Tentite qui controle sans reveler le ou les nombres prives, de fagon a 
pouvoir les utiliser autant de fois que de besoin. 

Chaque schema GQ repose sur un module public compose de grands 
nombres premiers secrets. Un exposant public v et un module public n 
forment ensemble une cle de verification (v, n) signifiant « elever a la 
puissance v modulo n f> et mise en oeuvre au moyen d ! une ou plusieurs 
equations generiques, toutes du meme type, direct : G = Q (mod n) ou 
inverse : GxQ v = 1 (mod ri). Le type a un effet sur le deroulement des 
calculs au sein de l'entite qui controle, pas au sein de l'entite qui prouve ; en 
fait, les analyses de securite confondent les deux types. Chaque equation 
generique lie un nombre public G et un nombre prive Q formant ensemble 
un couple de nombres {G,Q}. En resume, chaque schema GQ met en 
oeuvre un ou plusieurs couples de nombres {G, 0} pour la meme cle (v, n). 
Une version classique de schemas GO, appelee ici GOl, fait appel a un 
schema RSA de signature numerique. La cle de verification (v, n) est alors 
une cle publique RSA ou Texposant v impair est de preference un nombre 
premier. Chaque schema GQ1 utilise en general un seul couple de nombres 
{G, Q} : le nombre public G est deduit de donnees ^identification selon un 
mecanisme de format qui fait partie integrante du schema RSA de signature 
numerique. Le nombre prive O ou bien son inverse modulo n est une 
signature RSA des donnees ^identification. L'entite qui prouve demontre la 
connaissance d ! une signature RSA de ses propres donnees ^identification et 
cette preuve ne revele pas la signature qui reste done secrete pour etre 
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utilisee autant de fois que de besoin. 

Les schemas GQ1 mettent generalement en ceuvre deux niveaux de dis : la 
cle privee de signature RSA est reservee a une autorite accreditant des 
entites se distinguant les unes des autres par des donnees ^identification. 
5 On dit qu ! un tel schema est « base sur Tidentite ». Ainsi, un emetteur de 

cartes a puce utilise sa cle privee RSA a remission de chaque carte pour 
calculer un nombre prive Q qu'il inscrit comme cle privee diversifiee dans 
la carte ; ou encore, un client sur un reseau d'ordinateurs utilise sa cle privee 
RSA a chaque entree en session pour calculer un nombre prive Q qui sera la 

10 cle privee ephemere du client durant la session. Les entites qui prouvent, 

cartes a puce ou clients en session, connaissent une signature RSA de leurs 
donnees ^identification"; elles ne connaissent pas la cle privee RSA qui, 
dans la hierarchie des cles, se trouve au niveau immediatement superieur. 
Cependant, une authentification dynamique d entites par GQ1 avec un 

15 module de 768 bits au niveau d f une autorite demande a peu pres la merae 

charge de travail qu ! une authentification dynamique dentites par RSA avec 
un module de 512 bits a trois facteurs premiers au niveau de chaque entite, 
ce qui permet a Tentite qui prouve d l utiliser la technique des restes chinois 
en calculant un resultat modulo chacun des facteurs premiers avant de 

20 calculer un resultat modulo leur produit. 

Toutefois, la hierarchie de cles entre une autorite et les entites accreditees 
n'est pas obligatoire. On peut utiliser GQ1 avec un module propre a Tentite 
qui prouve, ce qui permet d'utiliser la technique des restes chinois pour 
reduire les charges de travail de Tentite qui prouve, ce qui ne change pas 

25 fondamentalement la charge de travail de Tentite qui controle, mis a part le 

fait qu T un module au niveau de Tentite qui prouve peut etre plus court qu f un 
module au niveau de Tautorite, par exemple 512 bits compares a 768 bits. 
Lorsque Tentite connait les facteurs premiers de son propre module, 
pourquoi faire appel a un schema RSA de signature numerique ?? 
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Une autre version de schemas GO, annelee ici GQ2 elemental, fait appel 
directement au probleme de la factorisation d'un module n. Dans ce 
contexte, « directement » signifie « sans faire appel a la signature RSA ». 
L'objectif de GQ2 est bien de reduire les charges de travail, non seulement 
de l'entite qui prouve mais aussi de l'entite qui controle. L'entite qui prouve 
demontre la connaissance d'une decomposition de son propre module et 
cette preuve ne revele pas la decomposition qui reste done secrete pour etre 
utilisee autant de fois que de besoin. La securite du protocole GQ2 est 
equivalente a la factorisation du module. 

Chaque entite qui prouve dispose de son propre module n. Chaque schema 
GQ2 met en oeuvre un parametre k, petit nombre plus grand que 1 fixant un 
exposant public v = 2\ ^t un ou plusieurs couples de nombres {G 1? O x ) a 
{G, QJ. Chaque nombre public G. est le carre d'un petit nombre g. plus 
grand que 1 et appele « nombre de base ». Toutes les entites qui prouvent 
peuvent utiliser le ou les memes nombres publics G x a G tn . La factorisation 
du module n et le ou les nombres prives O l a O m sont alors au meme niveau 
dans la hierarchie des cles. Chaque ieu de cles GQ2 elementaires est defini 
par deux conditions necessaires et suffisantes. 

- Pour chaque nombre de base, aucune des deux equations x s +g-. (mod n) 
n ! a de solution en x dans Tanneau des entiers modulo n, c ! est-a-dire que les 
nombres ±g. sont deux residus non quadratiques modulo n. 

- Pour chaque nombre de base, Tequation x v s g* (mod n) ou v = 2 k a des 
solutions en x dans Tanneau des entiers modulo n. Le nombre prive Q ou 
son inverse modulo n est n'importe laquelle de ces solutions. 

Compte tenu de la deuxieme condition, pour que les nombres ±g. soient 
deux residus non quadratiques modulo le module n doit comporter au 
moins deux facteurs premiers congrus a 3 (mod 4) par rapport auxquels le 
symbole de Legendre de g. differe. Par consequent, tout module compose de 
facteurs premiers dont aucun ou un seul est congru a 3 (mod 4) ne perrnet 



WO 01/26279 




PCT/FR00/02717 



pas d'etablir un jeu de cles GQ2 elementaires, ce qui privilegie les facteurs 
premiers congrus a 3 (mod 4). Or en prenant au hasard des grands nombres 
premiers, il s'avere qu'ils sont environ pour moitie congrus a 3 (mod 4) et 
pour moitie a 1 (mod 4). De ce fait, beaucoup de modules RSA en usage ne 
permettent pas d'etablir des jeux de cles GQ2 elementaires. 
Nous introduisons ici les ieux de cles GQ2 generalisees pour surmonter 
cette limitation afin de pouvoir utiliser des techniques GQ2 avec n'importe 
quel module, en particulier, n'importe quel module RSA ; ils reposent sur 
deux principes necessaires et suffisants. 

Le premier principe reproduit la deuxieme condition de GQ2 elementaire. 

— Pour chaque nombre de base g ] a g m9 Tequation x = (mod n) ou 
v = 2* a des solutions fenx dans l'anneau des entiers modulo n. 

Parce que le nombre prive Q. ou bien son inverse modulo n est une solution 
a Tequation, k-l carres successifs modulo n le transforment en un nombre q. 
qui est une racine carree de G. dans Tanneau des entiers modulo n. Selon 
que le nombre q. est egal a Tun des deux nombres g. ou n— g., ou different 
des deux nombres g i et n- g., nous disons qu'il est trivial ou non. Lorsqu'un 
nombre q. est non trivial, n qui divise q:— g. 2 ne divise ni q .— g. ni q^g r Tout 
nombre q. non trivial revele done une decomposition du module n. 

n = pgcd(n, q r g)xpgcd(n 9 q.+g) 
Le deuxieme principe elargit la premiere condition de GQ2 elementaire. 

— Parmi les nombres q { a q m , au moins un nombre q { est non trivial. 
Observons que si un nombre q i existe alors que les nombres ±g. sont deux 
residus non quadratiques dans Tanneau des entiers modulo rc, le nombre q. 
est manifestement non trivial. Ainsi, les jeux de cles GQ2 elementaires font 
bien partie des jeux de cles GQ2 generalisees qui permettent d'utiliser 
n'importe quel module, c ! est-a-dire toute composition de grands nombres 
premiers congrus indifferemment a 3 ou a 1 (mod 4) dont au moins deux 
sont distincts. Par contre, beaucoup de jeux de cles GQ2 generalisees ne 
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sont pas des jeux de cles GQ2 elementaires. Chaque jeu de cles GQ2 
generalisees est dans Tun des deux cas suivants. 

- Lorsque les 2xw nombres ±g l a ±g m sont tous des residus non 
quadratiques, c'est un jeu de cles GQ2 elementaires. 

- Lorsque parmi les 2xm nombres ±g t a ±g m9 il y a au moins un residu 
quadratique, ce n'est pas un jeu de cles GQ2 elementaires; c'est ce que 
nous appelons ici un jeu de cles GQ2 complementaires. 

La presente invention porte sur les ieux de cles GQ2 complementaires . par 
definition, ces jeux de cles GQ2 generalisees qui ne sont pas elementaires. 
Outre les deux principes precedents, un tel jeu doit satisfaire un troisieme 
principe. 

- Parmi les 2xm nombfes ±g { a ±g m , il y a au moins un residu quadratique. 
Pour apprehender le probleme et comprendre la solution que nous en 
donnons, c'est-a-dire l'invention, analysons d'abord la decomposition du 
module n revelee par un nombre q non trivial, puis rappelons la technique 
des restes chinois, puis, la notion de rang dans un corps de Galois CG(p) ; 
puis, etudions les fonctions « elever au carre » dans CG(p) et « prendre une 
racine carree » d'un residu quadratique dans CG(p) ; enfin, analysons 
T applicability des trois principes enonces ci-dessus. 

Analyse des decompositions du module — De meme que le module n se 
decompose en /facteurs premiers p l a p p l'anneau des entiers modulo n se 
decompose en / corps de Galois CGO,) a CG(p). Dans chaque corps, il y a 
deux racines carrees de Tunite, a savoir ±1. Dans Tanneau, il y a done if 
racines carrees de Tunite. Chaque nombre prive Q l a O m definit un nombre 
A = 9i 1 Si (mod ri) qui est une de ces 2f racines carrees de Tunite dans 
l f anneau ; en d^utres termes, n divise A. 2 -l. 

• Lorsque q. est trivial, c ! est-a-dire A. = ±1, n divise A-l ou bien A.+l et 
done A. ne revele pas de decomposition du module n. 

• Lorsque q. est non trivial, c T est-a-dire A. ^ ±1, n ne divise ni A.-l ni A.+ l 
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et done A. revele une decomposition, n = pgcd(n, A.-l)xpgcd(/i, A.+ l), 
resultant de la valeur de A. dans chaque corps : le ou les facteurs premiers 
divisant A-l d'un cote, celui ou ceux divisant A.+l de Tautre. 
Examinons les regies de composition multiplicative des nombres q. Deux 
nombres q 2 ) donnent un nombre compose q x xq 2 (mod n). 

- Lorsque q x est non trivial et q 2 trivial, le nombre compose q x xq, (mod n) 
est non trivial ; il revele la meme decomposition que q r 

- Lorsque q l et q 2 sont non triviaux et A, = +A„ le nombre compose q x xq 2 
(mod n) est trivial ; il ne revele pas de decomposition. 

- Lorsque q 1 et q 2 sont non triviaux et A, ^ ±A„ le nombre compose q x xq 2 
(mod n) est non trivial ; il revele une troisieme decomposition. 

Trois nombres {q x , q 2 , (fa) donnent quatre nombres composes {q x xq„ qj<q y 
q 2 xq 3 , q l xq 2 xq 3 (mod «)}, soit un total de sept nombres ; m nombres donnent 
ainsi 2 m -m— 1 nombres composes, soit un total de 2 m -l nombres. 
Considerons un jeu de cles GQ2 generalisees comportant i nombres de base 
g x a g { et i nombres prives Q x a Q. donnant i nombres q x a q. et done i 
nombres A, a A. qui sont des racines de Tunite. Cherchons a prendre en 
compte un autre nombre de base par un nombre prive Q.^ donnant un 
nombre et done une racine A +I . 

• Le total des 2 ,+1 — 1 nombres comporte autant de nombres non triviaux dans 
chacun des deux cas suivants. 

- La racine A +1 est triviale et au moins une racine A^ a A est non triviale. 

- La racine A.^ est non triviale et figure parmi les 2x/ racines ±A, a ±A r 

• Dans le cas ou la racine A M est non triviale et ne figure pas parmi les 2xi 
racines ±A, a ±A., chaque nombre compose ou figure q i+l est non trivial. 

Par consequent, lorsque parmi m nombres q x a q m , au moins un est non 
trivial, plus de la moitie du total des 2 m -l nombres sont non triviaux. 
Par definition, nous disons que / < / nombres non triviaux {q v q„ ... q,} 
sont independants par rapport au module n lorsque chacun des 2-/-1 
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nombres composes correspondants est non trivial, c'est-a-dire que, au total, 
les 2-1 nombres sont tous non triviaux. Chacun de ces 2—1 nombres revel e 
alors une decomposition differente du module n. 

- Lorsque les / facteurs premiers sont distincts, il y a 2f~~ ] — 1 decompositions 
du module n. Alors, si f-l nombres q sont independants, il y a une 
correspondance biunivoque entre les 2f~~ x — 1 decompositions et un total de 
2^-1 nombres comprenant les f-l nombres independants et les 2f~ ] —f 
nombres composes correspondants. 

Restes chinois — Soient deux nombres a et b premiers entre eux tels que 
0 < a < b, et deux nombres I de 0 a a-l et X b de 0 a b-\ ; il s'agit de 
determiner le nombre unique X de 0 a axb-l tel que X a = X(moda) et 
X b = X (mod Le nombre a = {b (mod a)} 1 (mod a) est le parametre des 
restes chinois. Voici Foperation elementaire des restes chinois. 
x=X b (mod a) 

y = X a -x ; si y est negatif, remplacer>> par y+a 

z = ocxy (mod a) 

X=zxb+X b 

En resume, nous ecrivons : X- Restes Chinois (X, X b ). 
Lorsque/ facteurs premiers sont ranges dans l'ordre croissant, du plus petit 
au plus grand p p les parametres des restes chinois peuvent etre les 
suivants (il y en a un de moins que de facteurs premiers, c'est-a-dire/-l). 

- Le premier parametre est a = (p 2 (mod p,))" 1 (mod />,). 

- Le second parametre est p = (p^p 2 (mod pj)~ l (mod /? 3 ). 

- Le z-ieme parametre est X = (p,x . . . p i X (mod p))~ l (mod p). 

- Et ainsi de suite. 

En f-l operations elementaires, on etablit un nombre JdeOa n-l a partir 
de tout jeu de / composantes de X ] a X f avec X. de 0 a p—\ : 

- un premier resultat (mod pj<p 2 ) avec le premier parametre, 

- puis, un second resultat (mod p^p^p^) avec le second parametre, 
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- jusqu'au resultat final (mod n = p x xp 2 x ... p) avec le dernier parametre. 
En resume, etant donnes les facteurs premiers p l a p p chaque element de 
1'anneau des entiers modulo n a deux representations equivalentes : 

- / nombres X x a X p une composante par facteur premier : X = X(mod p) 9 

- un nombre^Tde 0 a n— 1, X= Restes Chinois (X v X„ ...X). 

Rang des nombres dans CG(p) — Soit un nombre premier impair p et un 
nombre a plus petit que p, c'est-a-dire 0 < a < p. Par definition, le rang de a 
par rapport a p est la periode de la suite {X} definie par {x 1 = a ; puis, pour 

1 > 1, jc. +j = axx. (mod p)}. Grace au theoreme de Fermat, nous obtenons : 
x i+p = cfxx. = axx. = x +J (mod p). Par consequent, le rang d ? un nombre a par 
rapport a un nombre premier p est p-\ ou un diviseur de p— 1 . 

Par exemple, lorsque (p-\)l2 est un nombre premier impair p \ le corps de 
Galois CG(p) comporte un nombre de rang 1 : c'est 1, un nombre de rang 

2 : c'est -1,^-1 nombres de rang p ' et p -1 nombres de rang 2xp ' = p—l . 
Dans CG(p), tout nombre de rang p-\ est un « generateur ». La denomi- 
nation est due au fait que les puissances successives d ! un generateur dans 
CG(/?), c'est-a-dire les termes de la suite {X} pour les indices de 1 a p—l 9 
forment une permutation de tous les elements non nuls de CG(p). 

Soit un generateur y de CG(p). Evaluons le rang du nombre y (mod p) en 

fonction de i et de p— 1. Lorsque i est premier avec p-l, c'est p-\. Lorsque i 

divise p—l 9 c'est (p—l)//. Dans tous les cas, c'est (p-l)/pgcd(/?— 1, /)■ 

Par definition, la fonction d ! Euler 9(77) est le nombre de nombres plus petits 

que n et premiers avec n. Dans CG(p), il y a 9(p-l) generateurs. 

A titre d' illustration, le rang fait bien comprendre les bases du RSA. Le 

module n est le produit de / facteurs premiers p l a p f avec f> 2. Pour chaque 

facteur premier p ; dep ] kp p l'exposant public e doit etre premier avec p-1 . 

Alors, la cle (e, p) respecte le rang des elements de CG(p) : elle permute les 

elements de CG{p) ; il existe un nombre d p generalement le plus petit 
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possible, tel que divise La cle (^-,p ; > inverse la permutation des 

elements de CG(p). Ces / permutations, une dans chaque corps CGO^) a 
CG(py), se traduisent dans l'anneau des entiers modulo n par la permutation 
RSA resumee par la cle publique (e, n). II existe un nombre d, generalement 

5 le plus petit possible, tel que ppcm(p r l 9 p 2 -l 9 ... p r i) divise dxe-l. Pour 

chaque facteur premier p. de p l a^ona d j = J (mod /?/-l). La permutation 
RSA resumee par la cle publique (e, n) est inversee par la cle privee (d, n). 
Carres dans CG(p) — Definissons un nombre t tel que p-l est divisible 
par 2', mais pas par 2 n \ Chaque grand nombre premier figure dans une et 

10 une seule categorie: *=1, f = 2, f=3, f = 4, et ainsi de suite. Si Ton 

considere un assez grand nombre de nombres premiers successifs, environ 
un sur deux figure dansla premiere categorie ou p est congru a 3 (mod 4), 
un sur quatre dans la deuxieme ou p est congru a 5 (mod 8), un sur huit 
dans la troisieme ou p est congru a 9 (mod 16), un sur seize dans la 

15 quatrieme ou p est congru a 17 (mod 32), et ainsi de suite ; en moyenne, un 

sur 2' figure dans la /-ieme categorie ou p est congru a 2'+l (mod 2" 1 ). 
Parce que les nombres x et p-x ont le meme carre dans CG(p), la cle <2,/?> 
ne permute pas CG(p). La fonction « elever au carre » dans CG(p) peut se 
representer par un graphe oriente ou chaque element non nul du corps 

20 trouve sa place. Analysons la structure du graphe en branches et en cycles 

selon la parite du rang de chaque element. 

- L'element nul est fixe . Cest 0. Le rang n'est pas defmi pour l'element 
nul auquel aucun autre element ne se rattache ; Telement nul est isole. 

- L'element unite est fixe . Cest 1, le seul element de rang 1. Toutes les 
25 racines de l'unite dans CG(p) se trouvent dans la branche se rattachant a 

1. Soit un residu non quadratique de CG(p), n'importe lequel ; la cle 
{(p^\y2\p) transformer en une racine 2^-ieme primitive de -1 notee 
par b ; en effet, on a y^ m = -1 (mod p). Par consequent, dans CG(p), 
les puissances de b pour les exposants de 1 a 2'" 1 sont les 2'" 1 racines de 
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P unite autres que 1 : elles composent la branche se rattachant a 1. 
Le carre de tout element de rang pair est un autre element dont le rang 
est divise par deux . Par consequent, chaque element de rang pair se 
place dans une branche ; chaque branche comporte un nombre de rang 
divisible par deux mais pas par quatre, puis, si / > 2, deux nombres de 
rang divisible par quatre mais pas par huit, puis, si t > 3, quatre 
nombres de rang divisible par huit mais pas par seize, puis, si t > 4, huit 
nombres de rang divisible par seize mais pas par 32, et ainsi de suite. 
Toutes les branches sont semblables a la branche rattachee a 1 ; les 2'" 1 
feuilles de chaque branche sont des residus non quadratiques ; chaque 
branche comporte 2—1 elements et se rattache a un element de rang 
impair ; il y a (/>-l)/2' branches qui ont toutes la meme longueur /. 
Le carre de tout element de rang impair autre que Telement unite est un 
autre element avant le meme rang . La cle <2, p) permute Fensemble des 
(p-l)/2' elements de rang impair. La permutation se decompose en 
cycles de permutation. Le nombre de cycles depend de la factorisation 
de (p-\)/2 l . Pour chaque diviseur p' de <>-l)/2', il y a un cycle 
comportant les yip') elements de rang p'. Rappelons que par definition, 
la fonction d'Euler (pip*) est le nombre de nombres plus petits que p' et 
premiers avec p\ Par exemple lorsque p'= (p-l)/2* est premier, les p-1 
nombres de rang/?' forment un grand cycle de permutation. 
Les figures 1A a ID illustrent chacune un fragment de graphe pour p 
congru respectivement a 3 (mod 4), 5 (mod 8), 9 (mod 16) et 17 (mod 32). 
Les feuilles sur les branches sont representees par des ronds blancs ; 
ce sont des residus non quadratiques. 

Les nceuds dans les branches sont representes par des ronds gris ; ce 
sont des elements quadratiques de rang pair. 

Les nceuds dans les cycles sont representes par des ronds noirs ; ce 
sont des elements quadratiques de rang impair. 



WO 01/26279 PCT/FR00/02717 

44 



Racines carrees dans CG(p) — Sachant que a est un residu quadratique de 
CG(p), voyons comment calculer une solution a l'equation x = a (mod p) y 
c'est-a-dire « prendre une racine carree » dans CG(p). II y a bien sur 
plusieurs fa?ons d'obtenir le meme resultat : on pourra consulter les pages 
5 31 a 36 du livre de Henri Cohen, a Course in Computational Algebraic 

Number Theory, publie en 1993 par Springer a Berlin comme volume 138 
de la serie Graduate Texts in Mathematics (GTM 138). 
Le nombre s = (p-l+iyi* 1 donne une cle (sr, p) qui vaut : 

<0+l)/4,/?> lorsque p est congru a 3 (mod 4), 
io ((p+3)/S,p) lorsque p est congru a 5 (mod 8), 

((p+7)/16,/>> lorsque p est congru a 9 (mod 16), 

<(p+15)/32,/?) lorsque p est congru a 17 (mod 32), 

et ainsi de suite. 

- La cle (s,p) transforme tout element d'un cycle en 1'element precedent 
15 dans le cycle. Lorsque a est de rang impair, c'est la solution de rang impair ; 

nous la nommons w. En effet, dans CG(p) 5 wla vaut a eleve a la puissance 
(2x(p-l+2')/2' H >-l = (p-l)/2 # . L'autre solution est de rang pair ; c'est p-w. 

- D'une maniere generale, la cle (s,p) transforme tout residu quadratique a 
en une premiere approximation de solution que nous nommons r. Puisque a 

20 est un residu quadratique, la cle (T\p) transforme certainement r 2 la en 1. 

Pour se rapprocher d'une racine carree de a, elevons rla a la puissance 2 ,_2 
(mod p) pour obtenir +1 ou -1. La nouvelle approximation reste r si le 
resultat est +1 ou bien devient Z?xr (mod p) si le resultat est -1, sachant que 
b designe n ? importe quelle racine 2-ieme primitive de 1 dans le corps 

25 CG(p). Par consequent, la cle (2"\p) transforme la nouvelle approximation 

en 1. On peut encore se rapprocher en utilisant la cle (2'~~\/?) et en 
multipliant par b 2 (mod p) s'il le faut, et ainsi de suite. 

L'algorithme suivant resout l'equation. II utilise les nombres a, b, p 9 r et t 
definis ci-dessus et deux variables : c represente les corrections successives 
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et w les approximations successives. Au debut de Talgorithme, c = b et 
w = r. A J 'issue du calcul, les deux solutions sont w et p-w. 
Pour / allant de t-2 a 1, repeter la sequence suivante : 

- Appliquer la cle (2\p) au nombre w 2 la (mod /?) pour obtenir +1 ou -1 . 

- Lorsque Ton obtient -1, remplacer w par wxc (mod p). 

- Remplacer c par c 2 (mod p). 

Applicability des principes — Par definition, nous disons qu'un parametre 
k, un nombre de base g et un facteur premier p sont compatibles lorsque 
l'equation x = g~ (mod p) ou l'exposant v vaut 2 k a des solutions en x dans le 
corps CG(p). Les nombres £ et g sont petits et plus grands que 1 . Le nombre 
p est un grand nombre premier. 

- Lorsque t = 1, c'est-a-dire = 3 (mod 4), Tequation a deux solutions. 

- Lorsque t = 2, c f est-a-dire /? = 5 (mod 8), selon le symbole de Legendre de 
g- par rapport a l'equation a quatre solutions si (g|p) = +1 ; elle n f a pas de 
solution si (g\p) = -1 . 

- Lorsque / > 2, c f est-a-dire /? = 1 (mod 8), soit u le nombre tel que 2 U divise 
le rang du nombre public G = g par rapport a p, mais que 2" +1 ne le divise 
pas ; par consequent, u est egal a Tun des nombres de 0 a t—\. L'equation n'a 
aucune solution si u > 0 et k+u > t ; elle a 2* solutions si k+n < t ; elle a 2' 
solutions si u = 0 et k > t. 

II y a done deux types de compatibility selon que G est dans un cycle ou 

bien en position appropriee dans une branche. 

Lorsque G est dans un cycle, e'est-a-dire u = 0 quelle que soit la valeur 
de k 9 il y a une solution de rang impair dans le cycle et des solutions 
de rang pair disseminees dans a = min(A:, t) branches consecutives 
rattachees au cycle, soit 2 a solutions en tout. La figure 2A illustre ce 
cas avec k > t = 3, e'est-a-dire un facteur premier congru a 9 (mod 16), 
ce qui impose n = 0. 

Lorsque G est en position appropriee dans une branche, c f est-a-dire 
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u > 0 et u+k < t, il y a 2 k solutions, toutes de rang pair et dans la 
branche. La figure 2B illustre ce cas. 
Etant donne un parametre k, il y a done deux types de facteurs premiers 
selon que la valeur de t est inferieure a k ou bien superieure ou egale a k. 
Pour tout facteur premier p. tel que t < k, chaque G t doit etre dans un 
cycle et il n'y a pas de solution dans la branche rattachee a G. 
Definissons un nombre A. y qui vaut +1 ou — 1 selon que g. ou —g. est 
dans le cycle. II n'y a pas de choix pour aucun des m nombres A ly a A mJ . 
La figure 3 A illustre un cas t < k : G est dans un cycle avec un facteur 
premier p. congru a 9 (mod 16), c ? est-a-dire 5 u = 0, t = 3 avec k > 3. 
Pour tout facteur premier p. tel que t > k, chaque G. doit etre tel que 
u+k<t, c f est-a-direr ou bien dans un cycle avec u = 0 ou bien en 
position appropriee dans une branche avec 1 < u < t-k. Definissons un 
nombre A u qui vaut +1 ou -1 selon que Q.. se trouve dans la partie de 
graphe rattachee a g, on a —g r 11 y a le choix pour chacun des m 
nombres A w a A m . ; chaque nombre A. , peut etre individuellement 
bascule d f une valeur a Tautre. La figure 3B illustre un cas t > k : G. est 
dans une branche avec un facteur premier p. congru a 17 (mod 32), 
c f est-a-dire, u = 1, t = 4 avec k= 3. 
Chaque jeu de / composantes {A u ... A^} est une racine carree de Tunite 
dans CG(p). Cette racine est triviale ou pas selon que les / composantes 
sont egales ou pas ; nous disons alors que le jeu de / composantes est 
constant ou variable, ce qui traduit le fait que le nombre q. est trivial ou pas. 
Par consequent, lorsqu ! un nombre q. est non trivial, le jeu de / composantes 
{A. l ... A^} resume une decomposition du module. II est done possible de 
tester les principes avant de calculer les composantes privees Q tJ . 

- Lorsqu f un nombre public G. est dans un cycle pour un facteur premier 
p p le nombre A Lj vaut +1 ou -1 selon que g. ou -g. est dans le cycle. 
Lorsque p. = 3 (mod 4), c f est le symbole de Legendre : A. . = ig}p). 
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- Lorsqu f un nombre public G. est en position appropriee dans une 
branche pour un facteur premier p p on peut determiner la valeur a donner 
a A LJ avant de calculer la composante privee Q. r 

Production de jeux de cles — Etant donne un parametre £, il y a deux 

strategies. 

Ou bien le generateur demande / facteurs premiers afm de determiner m 
nombres de base. Les premiers nombres premiers : 2, 3, 5, 7, ... sont 
examines pour evaluer leur compatibility avec chacun des / grands 
facteurs premiers p x a p f Bien que g = 2 ne soit pas compatible avec 
p = 5 (mod 8), 2 peut entrer dans la composition dun nombre de base. 
En effet, lorsque deux nombres sont en position similaire dans une 
branche, leur produit est plus pres du cycle, tout comme un carre 
rapproche du cycle. On peut ainsi obtenir un nombre de base en 
composant des nombres qui individuellement ne conviennent pas. 
Ou bien le generateur demande m nombres de base et des caracteris- 
tiques du module telle qu'une taille en bits (par exemple, 512, 768, 
1024, 1536, 2048) et un nombre de bits successifs a 1 en poids forts 
(par exemple, 1, 8, 16, 24, 32) afin de determiner f> 2 facteurs 
premiers. Notes par g { g 2 ... g m9 les nombres de base figurent 
generalement parmi les premiers nombres premiers : 2, 3, 5, 7, 11, ... 
ou bien ce sont des combinaisons des premiers nombres premiers. Faute 
d'indication contraire, ce sont les m premiers nombres premiers : g, = 2, 
g 2 = 3, g z = 5, g A = 7, ... Notons que p s 5 (mod 8) n f est pas compatible 
avec g = 2. Le modvde n sera le produit de / facteurs premiers de tailles 
voisines, a savoir la taille assignee au module divisee par / 
Premier principe — Le parametre k, chaque facteur premier p allant de p x a 
p f et chaque nombre de base g allant de g x a g m doivent etre compatibles. 
Definissons un nombre h tel que 2* divise le rang de g par rapport a p, alors 
que 2 /r+1 ne le divise pas. Vomt calculer le nombre /z, la procedure suivante 
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utilise le symbole de Legendre (g\p) et un nombre b, racine 2-ieme 
primitive de l'unite dans CG(p). 

- Si (gjp) = +1 avec t = 1, retourner « h — 0 ». 

- Si = +1 avec t > 1, appliquer la cle <(/>-l+2')/2' +1 ,/?) a G pour obtenir 
un resultat appele w. 

Si w = +g ? retourner « /z = 0 ». 

Si = retourner « /z = 1 ». 

Sinon, mettre cab et pour / allant de f— 1 a 2, 

- appliquer la cle (2',/?) a wig (mod /?) pour obtenir ±1, 

- si —1 , mettre hkiet remplacer w par wxc (mod p) 9 

- remplacer c par c 2 (mod /?). 
Retourner « valeur de h de 2 a £— 1 ». 

- Si (gjp) = — 1, retourner «h = t ». 

Rappelons que k 9 g et p sont incompatibles lorsque u > 0 avec > f ; ils 
sont compatibles lorsque h = 0 ou 1, quelle que soit la valeur de k, et 
egalement lorsque h > 1 avec < M-l. 

Second principe — Les trois procedures suivantes correspondent a differen- 
tes implementations du second principe. Dans certaines implementations, le 
second principe peut etre renforce au point d'exiger que chaque nombre q l a 
q m soit non trivial. Le role des nombres de base est alors equilibre ; le fait 
d'equilibrer ou pas le second principe a un effet sur certains aspects de 
demonstration de la securite du schema. Enfin, lorsqu'il y a/> 2 facteurs 
premiers distincts, parmi les m nombres ... qj, on peut exiger qu f il y ait 
au moins un sous ensemble de/-l nombres independants. 
Les trois procedures utilisent rax/nombres 8.^. definis comrae suit. 

Lorsque p. est tel que t < k, pour i allant de 1 a m, 5 /y = A. y , c'est-a-dire 

+1 si A..= 0et-1 si h. .= 1. 

Lorsque p. est tel que t > k, pour i allant de 1 a 772, 8 (V = 0, ce qui indique 
que A, a A mJ peuvent etre choisis en fonction du deuxieme principe. 
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Une premiere procedure verifie qu f au moins un jeu {5 U ... 5 ;/ } est variable 
ou mil, c'est-a-dire qu'au moins un nombre q x a q m est non trivial ou peut 
etre choisi non trivial. 

Pour i allant de 1 a m et/ allant de 1 a/ 
si 5 jV = 0 ou 9* 8. p retoumer « succes ». 

Retoumer « echec ». 
Une deuxieme procedure verifie que chaque jeu {8., ... 8 y/ } est variable ou 
nul, c'est-a-dire que chaque nombre q x a q m est non trivial ou peut etre choisi 
non trivial. 

Pour / allant de 1 a m, 
pour j allant de 1 a/, 

- si b Q = 0 ou ^ 8. p passer a la valeur suivante de i. 
Retoumer « echec ». 

Retoumer « succes ». 
Une troisieme procedure verifie que pour chaque paire de facteurs premiers 
p JX et p n avec 1 <j\ <j 2 <f, il y a au moins un jeu (8 U ... 5^} ou 8. yl est nul 
ou different de 8 Elle echoue manifestement lorsque m est plus petit que 
^-1. Lorsqu'elle reussit, parmi les m nombres q x a q m , il y a au moins un 
ensemble de/-l nombres independants par rapport aux/facteurs premiers. 

Pour j\ allant de 1 a f—\ et pour j 2 allant de y',+1 a /, 
pour i allant de 1 a m, 

- si 8^., = 0 ou ^ 8.^,, passer aux valeurs suivantes de j\ et j 2 . 
Retoumer « echec ». 

Retoumer « succes ». 
Lorsqu'une procedure echoue, le generateur de jeux de cles GQ2 suit sa 
strategie parmi les deux strategies possibles : 

- changer Tun des m nombres de base en gardant les / facteurs premiers, 

- changer Tun des / facteurs premiers en gardant les m nombres de base. 
Troisieme principe — La procedure suivante determine si le jeu de cles 
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GQ2 generalisees en cours de production ou deja produit est 

un jeu de cles GQ2 elementaires, c'est-a-dire que les 2xm nombres 
±g x a ±g m sont tous des residus non quadratiques, 
ou bien, un jeu de cles GQ2 complementaires, c'est-a-dire que parmi 
les 2xm nombres ±g l a ±g m , il y a au moins un residu quadratique. 

La procedure utilise les deux symboles de Legendre (g. | p) et (—g. \ p) pour 

/ allant de 1 a m et pour j allant de 1 af. 
Pour i allant de 1 a m, 
pour j allant de 1 hf, 

- si (g g | = — 1 , passer a la valeur suivante de /. 
Retourner « jeu de cles GQ2 complementaires ». 
pour j allant de 1 hf, 

- si (— g. | p) = — 1 , passer a la valeur suivante de /. 
Retourner « jeu de cles GQ2 complementaires ». 

Retourner « jeu de cles GQ2 elementaires ». 
Composantes privies — Pour une equation de type direct : x v = g] (mod jp ), 
les calculs suivants etablissent toutes les valeurs possibles de la composante 
privee Q if Les deux cas les plus simples et les plus courants, c f est-a-dire 
t = 1 et t = 2, sont suivis par le cas plus complexe, c ! est-a-dire t > 2. 
Pour t = 1, c'est-a-dire p j = 3 (mod 4), la cle ((p+l)/4 9 p) donne la racine 
carree quadratique de n'importe quel residu quadratique dans CG(p). On en 
deduit un nombre s. = ((/?-H)/4)* (mod (p.-l)/2) 3 ce qui donne une cle is p p) 
transformant G ( enw = G* (mod Q est egal a w ou bien a p-w. 
Pour / = 2, c f est-a-dire p. = 5 (mod 8), la cle ((p+3)/S,p) donne la racine 
carree de rang impair de n'importe quel element de rang impair dans 
CG(p.). On en deduit un nombre s\= (0+3)78)* (mod (p-l)/4), ce qui 
donne une cle (s p p) transformant G. enw = G* J (mod p). Remarquons que 
z = 2 Q,J ~ iyA (mod p) est une racine carree de -1 parce que 2 est un residu non 
quadratique dans CG(/?). Q Q est egal a w ou bien a p-w ou bien encore a 
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w' s wxz (mod /? ) ou bien a p—w'. 

Pour /?. s 2'+l (mod 2' +l ) avec * > 2, la cle ((p r l+2y2" l ,p) donne la racine 
carree de rang impair de n'importe quel element de rang impair. Le test de 
compatibilite entre k,getp a donne la valeur de h, puis celle de u. 

- Lorsque G. est dans un cycle (u = 0, quelle que soit la valeur de k), on 
etablit un nombre Sj = ((p-l+iyi^f (mod fc-l)/2'). La cle (y.,/?) 
transforme G. en la solution de rang impair w s G* (mod p.). II y des 
solutions de rang pair reparties dans min(£, t) branches consecutives 
rattachees au cycle, disons dans a branches. Q est egal au produit de w 
par n'importe laquelle des racines 2 a ~iemes de Tunite dans CG{p). 

- Lorsque G. est en position appropriee dans une branche (u > 0, u+k < t\ 
toutes les solutions sont dans la meme branche que G , branche rattachee 
a un cycle par la puissance 2"-ieme du nombre G r On etablit un nombre 
Sj s ((p r l+2')/2 f+, )* +M (mod (p r l)/2'). La cle (y,^.) transforme la puissance 
2"-ieme de G, en un nombre de rang impair w. L'ensemble des produits 
de w par les racines 2^-iemes primitives de Tunite dans CG(p.) 
comprend les 2 k valeurs de Q ir 

Lorsque p J est tel que t > k, le nombre 6. etant une racine 2'-ieme primitive 
de Tunite dans CG(p,), la puissance 2'~"-ieme de b. dans CG(p y ) existe ; c'est 
une racine 2*-ieme primitive de Tunite. Multiplier O tJ par une racine 2*-ieme 
primitive de 1'unite permet de basculer la valeur du nombre A . 
Pour une equation de type inverse : 1 s jc'xg, 2 (mod il suffit de remplacer 
le nombre jr y par ((pr-l)/2 t )-s J dans la cle (s p p), ce qui revient a inverser la 
valeur de O y dans CG{p). 

Exemple de jeu de cles a deux facteurs premiers congrus a 5 (mod 8) 

p x = E6C83BF428689AF8C35E07EDD06F9B39A659829A58B79CD894C 
435C95F32BF25 

p 2 = 1 1BF8A68A0817BFCC00F15731C8B70CEF9204A34133A0DEF862 
829B2EEA74873D 
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n =P^P Z = FFFF8263434F173DOF2E76B32D904F56F4A5A6A50008C43 
D32B650E9AB9AAD2EB713CD4F9A97C4DBDA3828A3954F296458D5 
F42C0 1 26F5BD6B05478BE0A80ED 1 

Voici les symboles de Legendre des tout premiers nombres premiers. 

(2\ Pi ) = -1; (3 !/>,) = -1; (5 j Pl ) = +1; (7 \ Pl ) = -1; 

(ll| J p l ) = +l;(13| jPl )=-l;(17| / 7 1 ) = +l; 

Dans CGO,), le rang est impair pour -5, -1 1 et 17. 

(2 \p 2 ) = -1; (3 \p 2 ) = +1; (5 \p 2 ) = +1; (7 |/> 2 ) = +1; 

(11 Ia) = +1;(13| /?2 )=-1;(17| A ) = -1; 

Dans CG(/? 2 ), le rang est impair pour 3, -5, 7 et 1 1 . 

La fonction de Carmichael est = ppcm((p -l)/4, (p-l)/4). 

X(n) = 33331A13DA4304A5CFD617BD6F83431 1642121543334F40C3D5 

7A9C8558555D5BDAA2EF6AED17B9E3794F51A65A1B37239B18FA9 
B0F6 1 8627D8C7E 1 D8499C 1 B 

Avec k = 9, on utilise le nombre a = X(n) - ((l+X(n))/2) 9 (mod Un)) comme 
exposant prive, de fayon a utiliser des equations generiques de type inverse, 
o = 01E66577BC997CAC273671E187A35EFD25373ABC9FE6770E7446 
C0CCEF2C72AF6E89D0BE277CC6 1 65F 1 007 1 87 AC58028BD24 1 6D4CC 
1121 E7A7A8B6AE 1 86BB4B0 

Les nombres 2,3,7, 13 et 17 ne conviennent pas comme nombre de base. 

La cle (o, n) transforme g, = 5 en un nombre prive Q } qui ne revele pas de 

decomposition. En effet, dans les deux corps, -5 est sur un cycle. 

Q x = 818C23AF3DE333FAECE88A71C4591A70553F91D6CODD5538EC 

OF2AAF909B5BDAD491FD8BF13F18E3DA3774CCE19D0097BC4BD4 

7C5D6E0E7EBF6D89FE3DC5 1 76C 

La cle (a, n) transforme g 2 = 11 en un nombre prive qui revele une 
decomposition. En effet, 1 1 n'est pas en meme position dans les deux corps. 
Q 2 = 25F9AFDF177993BE8652CE6E2C728AF31B6D66154D3935AC535 
196B07C19080DC962E4E86ACF40D01FDC454F2565454F290050DA05 
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2089EEC96A1B7DEB92CCA7 

La cle (o, n) transforme g 3 = 2 1 = 3x7 en un nombre prive Q J qui revele une 
decomposition. 

0 3 = 78A8A2F30FEB4A5233BC05541AF7B684C2406415EA1DD67D18 
A0459 A 1 254 12 1 E95D5CAD8 A 1 FE3ECFE0685C96CC7EE86 1 67D99532 
B3 A96B 6BF9D93C AF8D4F6 AFO 

La cle (a, «) transforme g A = 26 = 2x13 en un nombre prive Q A qui revele 
une decomposition. 

Q 4 = 6F1748A6280A200C38824CA34C939F97DD2941DAD300030E481 

B738C62BF8C673731514D1978AF5655FE493D659514A6CE897AB76C 

01E50B5488C5DAD12332E5 

La cle privee peut encore se representer par les deux facteurs premiers, le 
parametre des restes chinois et huit composantes privees. 
a s (p 2 (mod pj)' x (mod p,) = ADE4E77B703F5FDEAC5B9AAE825D649 
E06692D 1 5FBF0DF737B 1 1 5DC4D0 1 2FD 1 D 

Q h x=Qx (mod/?,) = 7751A9EE18A8F5CE44AD73D613A4F465E06C6F9 
AF4D229949C74DD6C 1 8D76FAF 

Q U2 = Q\ (mod p 2 ) = A9EB5FA1B2A981AA64CF88C382923DB64376F5F 
D48152C08EEB61 14F31B7665F 

Qi,i = Qi (mod p s ) = D5A7D33C5FB75A033F2FOE8B20274B957FA3400 
4ABB2C2AC1CA3F5320C5A9049 

Qia = Qi (mod p 2 ) = 76C9F5EFD066C73A2B5CE9758DB512DFC01 1F5B 
5AF7DA8D39A961CC876F2DD8F 

£?3,i = (mod Pl ) = 2FEC0DC2DCA5BA7290B27BC8CC85C938A514B 
8F5CFD55820A174FB5E6DF7B883 

Q), 2 = (mod p 2 ) = 010D488E6BOA38A1CC406CEEOD55DE59013389D 
8549DE4934 1 3F34604A 1 60C 1 369 

= Qa (mod p) = A2B32026B6F82B6959566FADD9517DB8ED85246 
52 1 45EE 1 59DF3DC0C61 FE36 1 7 
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Qa,2 = Qa (mod p 2 ) = 01 1A3BB9B607FOBD71BBE25F52B305C224899E5 
F1F8CDC2FE0D8F9FF62B3C9860F 

Polymorphisme de la cle privee GQ2 — Les diverses representations 
possibles de la cle privee GQ2 s'averent equivalentes : elles se ramenent 
toutes a la connaissance de la factorisation du module n qui est la veritable 
cle privee GQ2. La representation de la cle privee GQ2 a un effet sur le 
deroulement des calculs au sein de 1 'entite Qui prou ve. pas au sein de 
Fentite qui controle . Voici les trois principals representations possibles de 
la cle privee GQ2. 1) La representation classique des cles priv ees GO 
consiste a stocker m nombres prives Q. et la cle publique de verification 
(v, n) ; pour les schemas GQ2, cette representation est concurrence^ par les 
deux suivantes. 2) La representation optimale en termes de charges de 
travail consiste a stocker le parametre k, les / facteurs premiers p p MX./ 
composantes privees Q u et f-l parametres des restes chinois. 3) La 
representation optimale en termes de taille de cle privee consiste a stocker 
le parametre k, les m nombres de base g t et les/facteurs premiers p P puis, a 
commencer chaque utilisation en etablissant ou bien m nombres prives et 
le module n pour se ramener a la premiere representation, ou bien mx/ 
composantes privees Q tJ et f-l parametres des restes chinois pour se 
ramener a la seconde. 

Parce que la securite du mecanisme d'authentification dynamique ou de 
signature numerique equivaut a la connaissance d'une decomposition du 
module, les schemas GQ2 ne permettent pas de distinguer simplement deux 
entites utilisant le meme module. Generalement, chaque entite qui prouve 
dispose de son propre module GQ2. Toutefois, on peut specifier des 
modules GQ2 a quatre facteurs premiers dont deux sont connus d'une entite 
et les deux autres d'une autre. 

Authentification dynamique — Le mecanisme d'authentification dynami- 
que est destine a prouver a une entite appelee controleur l'authenticite 
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d'une autre entite appelee demonstrateur ainsi que 1' authenticity d'un 
eventuel message associe M, de sorte que le controleur s'assure qu'il s'agit 
bien du demonstrateur et eventuellement que lui et le demonstrateur parlent 
bien du meme message M. Le message associe M est optionnel, ce qui 
5 signifie qu'il peut etre vide. 

Le mecanisme d'authentifi cation dynamique est une sequence de quatre 
actes : un acte d' engagement, un acte de defi, un acte de reponse et un acte 
de controle. Le demonstrateur joue les actes d'engagement et de reponse. 
Le controleur joue les actes de defi et de controle. 

10 Au sein du demonstrateur, on peut isoler un temoin, de maniere a isoler 

les parametres et les fonctions les plus sensibles du demonstrateur, c'est-a- 
dire, la production des engagements et des reponses. Le temoin dispose du 
parametre k et de la cle privee GQ2, c'est-a-dire, de la factorisation du 
module n selon Tune des trois representations evoquees ci-dessus : • les / 

is facteurs premiers et les m nombres de base, • les mxf composantes privees, 

les / facteurs premiers et f-l parametres des restes chinois, • les m nombres 
prives et le module n. 

Le temoin peut correspondre a une realisation particuliere, par exemple, 
• une carte a puce reliee a un PC formant ensemble le demonstrateur, ou 

20 encore, • des programmes particulierement proteges au sein d'un PC, ou 

encore, • des programmes particulierement proteges au sein d'une carte a 
puce. Le temoin ainsi isole est semblable au temoin defini ci-apres au sein 
du signataire. A chaque execution du mecanisme, le temoin produit un ou 
plusieurs engagements R, puis, autant de reponses D a autant de defis d. 

25 Chaque ensemble {/?, d, D) constitue un triplet GQ2. 

Outre qu'il comprend le temoin, le demonstrateur dispose egalement, le cas 
echeant, d'une fonction de hachage et d'un message M. 
Le controleur dispose du module n, par exemple, a partir d'un annuaire de 
cles publiques ou encore a partir d'un certificat de cles publique ; le cas 



WO 01/26279 




PCT/FR00/02717 



echeant, il dispose egalement de la rneme fonction de hachage et d'un 
message M\ Les parametres publics GQ2, a savoir les nombres k, met^a 
g m peuvent etre donnes au controleur par le demonstrateur. Le controleur est 
apte a reconstituer un engagement R ' a partir de n'importe quel defi d et de 
5 n'importe quelle reponse Z). Les parametres k et m renseignent le 

controleur. Faute d' indication contraire, les m nombres de base de g { a g m 
sont les m premiers nombres premiers. Chaque defi d doit comporter m 
defis elementaires notes de d l a d m : un par nombre de base. Chaque defi 
elementaire de d x a d m est un nombre de 0 a 2 A_1 -1 (les nombres de v/2 a v-\ 

10 ne sont pas utilises). Typiquement, chaque defi est code par m fois k-l bits 

(et non pas m fois k bits). Par exemple, avec k = 5 et m = 4 nombres de base 
5, 11, 21 et 26, chaque defi comporte 16 bits transmis sur quatre quartets. 
Lorsque les (k-l)xm defis possibles sont egalement probables, le nombre 
(k-l)xm determine la securite apportee par chaque triplet GQ2 : un 

15 imposteur qui, par definition, ne connait pas la factorisation du module n a 

exactement une chance de succes sur 2 (A " I>Xm . Lorsque (k-\)xm vaut de 15 a 
20, un triplet suffit a assurer raisonnablement rauthentification dynamique. 
Pour atteindre n'importe quel niveau de securite, on peut produire des 
triplets en parallele ; on peut egalement en produire en sequence, c'est-a- 

20 dire, repeter Y execution du mecanisme. 

1) L'acte d'engagement comprend les operations suivantes. 
Lorsque le temoin n'utilise pas les restes chinois, il dispose du parametre /c, 
des m nombres prives de Q } a O m et du module n ; il tire au hasard et en 
prive un ou plusieurs aleas r (0 < r < n) ; puis, par k elevations successives 

25 au carre (mod n), il transforme chaque alea r en un engagement R. 

R = r v (modtt) 

Voici un exemple avec le jeu de cles precedent sans les restes chinois. 

r - 5E94B894AC24AF843131F437C1B1797EF562CFA53AB8AD426C1 

ACQ 1 6F 1 C89CFDA 1 3 1 207 1 9477C3E2FB4B4566088E 1 OEF9C0 1 0E8F09 
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C60D98 15121981 2609 1 996 

R = 6BBF9FFA5D509778DOF93AE074D36A07D95FFC38F70C8D7E330 
0EBF234FA0BC20A95 1 52A8FB73DE8 1FAEE5BF4FD3EB7F5EE3E36D 
7068D083 EF7C93F6FDDF673 A 

Lorsque le temoin utilise les restes chinois, il dispose du parametre k, des / 
facteurs premiers de p x a p p def-\ parametres des restes chinois et des mxf 
composantes privees Q ; il tire au hasard et en prive une ou plusieurs 
collections de / aleas : chaque collection comporte un alea r. par facteur 
premier p j (0 < r. < p) ; puis, par k elevations successives au carre (mod p), 
il transforme chaque alea r. en une composante d'engagement R r 

Ri = n (mod 

Pour chaque collection de f composantes d'engagement, le temoin etablit un 
engagement selon la technique des restes chinois. II y a autant d' engage- 
ments que de collections d' aleas. 

R = Restes Chinois^,, R 2 , ... R) 
Voici un exemple avec le jeu de cles precedent et avec les restes chinois. 
r, = 5C6D37FOE97083C8D120719475E080BBBF9F7392F11F3E244FDFO 
204E84D8CAE 

R t = 3DDF516EE3945CB86D20D9C49E0DA4D42281D07A76074DD4FE 
C5C7C5E205DF66 

r 2 = AC8F85034AC781 12071947C457225E908E83A2621B0154ED15DB 
FCB9A4915AC3 

R 2 = 01 168CEC0F661EAA15157C2C287C6A5B34EE28F8EB4D8D34085 
8079BCAE4ECB016 

R = Restes Chinois(72„ R 2 ) = 0AE51D90CB4FDC3DC757C56E063C9ED8 
6BE 1 53B7 1 FC65F47C 1 23C27F082BC3DD 1 5273D4A923 8047 1 8573F2F0 
5E99 1487D1 7DAE0AAB7DF0DOFFA23E0FE59F95F0 
Dans les deux cas, le demonstrateur transmet au controleur tout ou partie de 
chaque engagement R, ou bien, un code de hachage H obtenu en hachant 
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chaque engagement J? et un message M. 

2) L'acte de defi consiste a tirer au hasard un ou plusieurs defis d 

composes chacun de m defis elementaires d x d 2 . . . d m ; chaque defi 

elementaire d. est Fun des nombres de 0 a v/2-1 . 
5 d — d x d 2 . . . d m 

Voici un defi pour les deux exemples, c'est-a-dire avec k = 5 et m = 4. 
^ = 1011 = 11 = 'B' ;</ 2 = 0011 =3 ; </ 3 = 0110 = 6;</ 4 = 1001 =9, 
d = d } | | d 2 | | </ 3 | | < = 10110011 01101001 = B3 69 

Le controleur transmet au demonstrateur chaque defi d. 
10 3) L'acte de reponse comporte les operations suivantes. 

Lorsque le temoin n'utilise pas les restes chinois, il dispose du parametre k, 

des m nombres prives de Q x a Q m et du module n ; il calcule une ou 

plusieurs reponses D en utilisant chaque alea r de Pacte d'engagement et les 

nombres prives selon les defis elementaires. 
is & = rxQf*xQ^x„.Q%» (mod*) 

Voici la suite de Texemple sans les restes chinois. 

D = 027E6E808425BF2B401FD00B15B642B1A8453BE8070D86C0A787 
0E6C 1 940F7A6996C2D87 1 EBE6 1 1 8 12532 AC5875E0E 1 1 6CC8BA648FD 
8E86BE0B2ABCC3CCBBBE4 

20 Lorsque le temoin utilise les restes chinois, il dispose du parametre k, des / 

facteurs premiers de p x kp p de/-l parametres des restes chinois et des mxf 
composantes privees Q. . ; il calcule une ou plusieurs collections de / 
composantes de reponse en utilisant chaque collection d'aleas de Facte 
d'engagement : chaque collection de composantes de reponse comporte une 

25 composante par facteur premier. 

A - r f x Q?j x Q% x...Q% (mod p t ) 
Pour chaque collection de composantes de reponse, le temoin etablit une 
reponse selon la technique des restes chinois. II y a autant de reponses que 
de defis. 
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D = Restes.Chinois(D„ D 2 , . .. D) 
Voici la suite de 1'exemple avec les restes chinois. 
A = r l xQj n xQ x ?xQ xt *xQ 4i " (mod/?,) = 

C71F86F6FD8F955E2EE434BFA7706E38E5E715375BC2CD2029A4BD 
5 572A9EDEE6 

A = r.xQ^xQ^xQ^xQ^ (modp 2 ) = 

OBE022F4A20523F98E9F5DBECOE10887902F3AA48C864A6C354693A 
D0B59D85E 

D = 90CE7EA43CB8EA89ABDD0C814FB72ADE74F02FE6F098ABB98 
10 C8577A660B9CFCEAECB93BE1BCC35681 IBF12DD667E2270134C907 

3B941 8CA5EBF5 19121 8D3FDB3 

Dans les deux cas, le demonstrateur transmet chaque reponse D au 
controleur. 

4) L'acte de controle consiste a controler que chaque triplet {R, d, £>} 
15 verifie une equation du type suivant pour une valeur non nulle , 

RxY[G?i =D 2 (mod n) oubien R = D 2 x[]g/' (mod n) 

i=l i=l 

ou bien, a retablir chaque engagement : aucun ne doit etre nul . 

k m k m 

R'=D 2 /J\ G ^ (mod w) oubien R X =D 2 xJ|Gf' (mod n) 
i=i i=i 
Eventuellement, le controleur calcule ensuite un code de hachage H' en 
20 hachant chaque engagement retabli R 3 et un message M\ L'authentification 

dynamique est reussie lorsque le controleur retrouve ainsi ce qu'il a re?u a 
Tissue de l'acte d'engagement, c'est-a-dire, tout ou partie de chaque 
engagement R, ou bien, le code de hachage H. 

Par exemple, une sequence d'operations elementaires transforme la reponse 
25 D en un engagement R \ La sequence comprend k carres (mod n) separes 

par k— 1 divisions ou multiplications (mod ri) par des nombres de base. Pour 
la i ieme division ou multiplication, qui s'effectue entre le / ieme carre et le 
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i+l ieme carre, le i ieme bit du defi elementaire ci l indique s'il faut utiliser 
g„ le /" ieme bit du defi elementaire d 2 indique s'il faut utiliser g 2 , ... 
jusqu'au i ieme bit du defi elementaire d m qui indique s'il faut utiliser g m . 
Voici la fin de l'exemple sans les restes chinois. 

D = 027E6E808425BF2B401FDOOB15B642B1A8453BE8070D86COA787 
0E6C1940F7A6996C2D871EBE61 1812532AC5875E0E1 16CC8BA648FD 
8E86BE0B2ABCC3CCBBBE4 
Elever au carre modulo n : 

88BA681DD641D37D7A7D9818D0DBEA821 74073 997C6C32F7FCAB3 
03 80C4C6229B0706D 1 AF6EBD846 1 777 1 C3 1 B4243C2F0376CAF5DCE 
B644F098FAF3B 1 EB49B39 
Multiplier par 5 fois 26 = 130, soit '82' modulo n : 

6ECABA65A9 1 C2243 1 C4 1 3 E4EC7C7B3 9FDE 1 4C9782C94FD6FA3 C A 
AD7AFE192B9440C1 1 13CB8DBC45619595D263C1O67D3D0A84OFDE0 
08B415028AB3520A6AD49D 
Elever au carre modulo n : 

0236D25049A521 7B138 1 8B39AFB009E4D7D52B 17486EBF844D64CF7 

5C4F65203 1 04 1 328B29EBF0829D54E3BD 1 7DAD2 1 8 1 74 AO 1 E6E3 AA65 

0C6FD62CC274426607 

Multiplier par 21, soit '15' modulo n : 

2E7F40960A8BBF1 899A06BBB6970CFC5B47C88E8F1 15B5DA594504 
A92834BA405559256A705ABAB6E7F6AE82F4F33BF9E91227F0ACFA 
4A052C9 1 ABF3 89725E93 
Elever au carre modulo n : 

B802171179648AD687E672D3A32640E2493BA2E82D5DC87DBA2B2C 

C0325E7A71C50E8AE02E299EF868DD3FB916EBCBC0C5569B53D42 

DAD49C956D8572E1285B0 

Multiplier par 5 fois 1 1 fois 21 = 1 155, soit '483' modulo n : 
3305560276310DEFEC1337EB5BB5810336FDB28E91B350D485B09188 
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E0C4F 1 D67E68E9590DB7F9F39C22BDB4533 0 1 3 62501 1 248 A8DC4 1 7C 

667B419D27CB11F72 

Elever au carre modulo n : 

8871C494081ABD1AEB8656C38B9BAAB57DBA72A4BD4EF9029ECB 
FFF540E55 138C9F22923963 1 5 1 FD0753 145DF70CE22E9D0 1 9990E41 D 
B6 1 04005EEB7B 1 1 70559 

Multiplier par 5 fois 1 1 fois 26 = 1430, soit '596' modulo n : 
2CF5F76EEBF128A070 1B56F837FF68F8 1 A6A5D 1 75D0AD67A 1 4DAE 
C6FB68C3 62B 1 DC0ADD6CFC004FF5EE ACDF794563BB09 A 1 7045EC 
FFF88F5 1 3 6C7FBC825BC50C 
Elever au carre modulo n : 

6BBF9FFA5D509778D0F93AE074D36A07D95FFC38F70C8D7E3300EB 

F234FAOBC20A95152A8FB73DE81FAEE5BF4FD3EB7F5EE3E36D706 

8D083EF7C93F6FDDF673A 

On retrouve bien 1'engagement R. L'authentification est reussie. 
Voici la fin de l'exemple avec les restes chinois. 

D = 90CE7EA43CB8EA89ABDD0C814FB72ADE74F02FE6F098ABB98 
C8577A660B9CFCEAECB93BE 1 BCC3 568 11BF1 2DD667E2270 1 34C907 
3B94 1 8CA5EBF5 19121 8D3FDB3 
Elever au carre modulo n : 

770 1 92532E9CED554A8690B8 8F 1 6D0 1301 0C903 1 72B266C 1 1 33B 1 36E 
BE3EB5F 1 3B 1 70DD4 1 F4ABE 1 4736 ADD3 A70DF A43 1 2 1 B6FC5560CD 
D4B4845395763C792A68 

Multiplier par 5 fois 26 = 130, soit '82' modulo n : 

6EE9BEF9E5271 300497 1 ABB9FBC3 1 1453 1 8E2A703C8A2FB3E144E77 
863 97CD8D 1 9 1 0E70FA86262DB77 1 AD 1 565303 AD6E4CC6E90AE3646 
B461D352 1 420E240FD4 
Elever au carre modulo n : 

D9840D9A8E80002C4D0329FF97D7AD 1 63D8FA98F6AF8FE2B2 1 60B2 
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126CBBDFC734E39F2C9A39983A426486BC477F20ED2CA59E664C23 
CA0E04E84F2F0AD65340 

Multiplier par 21, soit '15' modulo n : 

D7DD7516383F78944F2C90116E1BEE0CCDC8D7CEC5D7D1795ED33 

BFE8623DB3D2E5B6C5F62A56A2DF4845A94F32BF3CAC360C7782B 
594 1 924BB4BE9 1 F86BD85F 

Elever au carre modulo n : 

DD34O20DD0804C0757F29A0CBBD7B46A 1 BAF9492 1 4F74FDFE02 1 B 

626ADAFBAB5C3F1602095DA39D70270938AE362F2DAE0B91485531 
0C7BCA328A4B2643DCCDF 

Multiplier par 5 fois 1 1 fois 21 = 1 155, soit '483' modulo n : 
038EF55B4C826D189C6A48EFDD9DADBD2B63A7D675A0587C85596 

18EA2D83DF552D24EAF6BE983FB4AFB3DE7D4D2545190F1B1F946 
D327A4E9CA258C73A98F57 

Elever au carre modulo n : 

D 1 232F50E30BC6B7365CC27 1 2E5C AE079E47B97 1 DA03 1 85B33E9 1 8E 

E6E99252DB3573CC87C604B327E5B20C7AB920FDF142A8909DBBA1 
C04A6227FF 1 824 1 C9FE 

Multiplier par 5 fois 1 1 fois 26 = 1430, soit '596' modulo n : 

3CC768F 1 2 AEDFCD4662892B9 1 74A2 1 D 1 F0DD9 127A54AB63C9840 1 9 

BED9BF88247EF4CCB56D71E0FA30CFB0FF28B7CE45556F744C1FD7 
5 1 BFBC A040DC9CB AB744 
Elever au carre modulo n : 

0AE51D9OCB4FDC3DC757C56E063C9ED86BE153B71FC65F47C123C 

27F082BC3DD15273D4A923804718573F2F05E991487D17DAE0AAB7 
DF0D0FFA23E0FE59F95F0 

On retrouve bien 1'engagement R. L'authentification est reussie. 
Signature numerique 

Le mecanisme de signature numerique permet a une entite appelee 
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signataire de produire des messages signes et a une entite appelee 
controleur de verifier des messages signes. Le message M est une sequence 
binaire quelconque : il peut etre vide. Le message M est signe en lui 
adjoignant un appendice de signature qui comprend un ou plusieurs 
5 engagements et / ou defis, ainsi que les reponses correspondantes. 

Le controleur dispose du module n, par exemple, a partir d ! un annuaire de 
cles publiques ou encore a partir d ! un certificat de cles publique ; il dispose 
egalement de la meme fonction de hachage. Les parametres publics GQ2, a 
savoir les nombres k, m et g x a g m peuvent etre donnes au controleur par le 

10 demonstrateur, par exemple, en les mettant dans Tappendice de signature. 

Les nombres k et m renseignent le controleur. D'une part, chaque defi 
elementaire, de d x a d m , est un nombre de 0 a 2*" 1 -! (les nombres v/2 a v-1 
ne sont pas utilises). D' autre part, chaque defi d doit comporter m defis 
elementaires notes de d x a d m , autant que de nombres de base. En outre, 

15 faute d'indication contraire, les m nombres de base, de g x a g m9 sont les m 

premiers nombres premiers. Avec (k-\)xm valant de 15 a 20, on peut signer 
avec quatre triplets GQ2 produits en parallele ; avec (k-l)xm valant 60 ou 
plus, on peut signer avec un seul triplet GQ2. Par exemple, avec k= 9 et 
m = 8, un seul triplet GQ2 suffit ; chaque defi comporte huit octets et les 

20 nombres de base sont 2, 3, 5, 7, 1 1, 13, 1 7 et 19. 

L'operation de signature est une sequence de trois actes : un acte 
d' engagement, un acte de defi et un acte de reponse. Chaque acte produit un 
ou plusieurs triplets GQ2 comprenant chacun : un engagement R 0), un 
defi d compose de m defis elementaires notes par d v ... d m et une 

25 reponse D(*0). 

Le signataire dispose d'une fonction de hachage, du parametre k et de la cle 
privee GQ2, c'est-a-dire, de la factorisation du module n selon Tune des 
trois representations evoquees ci-dessus. Au sein du signataire, on peut 
isoler un temoin qui execute les actes d 'engagement et de reponse, de 
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maniere a isoler les fonctions et les parametres les plus sensibles du 
demonstrateur. Pour calculer engagements et reponses, le temoin dispose du 
parametre k et de la cle privee GQ2, c'est-a-dire, de la factorisation du 
module n selon Tune des trois representations evoquees ci-dessus. Le 
temoin ainsi isole est semblable au temoin defini au sein du demonstrateur. 
II peut correspondre a une realisation particuliere, par exemple, • une carte 
a puce reliee a un PC formant ensemble le signataire, ou encore, • des 
programmes particulierement proteges au sein d'un PC, ou encore, • des 
programmes particulierement proteges au sein d'une carte a puce. 

1) L'acte d'engagement comprend les operations suivantes. 

Lorsque le temoin dispose des m nombres prives O i a Q m et du module «, il 
tire au hasard et en prive un ou plusieurs aleas r (0 < r < n) ; puis, par k 
elevations successives au carre (mod il transforme chaque alea r en un 
engagement R. 

R = r v (mod n) 

Lorsque le temoin dispose des / facteurs premiers de p x a p et des mxf 
composantes privees O iP il tire au hasard et en prive une ou plusieurs 
collections de / aleas : chaque collection comporte un alea r. par facteur 
premier p. (0 < r < p t ) ; puis, par k elevations successives au carre (mod p), 
il transforme chaque alea r. en une composante d'engagement R r 

Ri = n (mod Pi) 

Pour chaque collection de / composantes d'engagement, le temoin etablit un 
engagement selon la technique des restes chinois. II y a autant 
d' engagements que de collections d'aleas. 

R = Restes Chinois(J? p R„ ... R) 

2) L'acte de defi consiste a hacher tous les engagements R et le message a 
signer M pour obtenir un code de hachage a partir duquel le signataire 
forme un ou plusieurs defis comprenant chacun m defis elementaires ; 
chaque defi elementaire est un nombre de 0 a v/2-1 ; par exemple, avec 
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k= 9 et m = 8, chaque defi comporte huit octets. II y a autant de defis que 
d'engagements. 

d = d x d 2 ... d m , extraits du resultat Hash(M, R) 
3) L'acte de reponse comporte les operations suivantes. 
5 Lorsque la temoin dispose des m nombres prives Q x a Q m et du module n, il 

calcule une ou plusieurs reponses D en utilisant chaque alea r de Facte 
d 5 engagement et les nombres prives selon les defis elementaires. 

x = Qt l *Qi 2 x~Qi m (mod.) 

D = rxX (mod n) 

10 Lorsque le temoin dispose des / facteurs premiers de p x a p et des mxf 

composantes privees Q ip il calcule une ou plusieurs collections de f 
composantes de reponse en utilisant chaque collection d'aleas de l'acte 
d' engagement : chaque collection de composantes de reponse comporte une 
composante par facteur premier. 

is Xi=QQxQ&x~42h (™d Pi ) 

Di^rjXX, (mod p t ) 
Pour chaque collection de composantes de reponse, le temoin etablit une 
reponse selon la technique des restes chinois. II y a autant de reponses que 
de defis. 

20 D = Restes Chinois(D p D 29 ... D) 

Le signataire signe le message M en lui adjoignant un appendice de 
signature comprenant : 

ou bien, chaque triplet GQ2, c'est-a-dire, chaque engagement R, chaque 
defi d et chaque reponse D, 
25 - ou bien, chaque engagement R et chaque reponse D correspondante, 

ou bien, chaque defi d et chaque reponse D correspondante. 
Le deroulement de Foperation de verification depend du contenu de 
Tappendice de signature. On distingue les trois cas. 

Au cas ou l'appendice comprend un ou plusieurs triplets, Foperation de 
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controle comporte deux processus independants dont la chronologie est 
indifferente. Le controieur accepte le message signe si et seulement si les 
deux conditions suivantes sont remplies. 

D'une part, chaque triplet doit etre coherent (une relation appropriee du 
type suivant doit etre verifiee) et recevable (la comparaison doit se faire sur 
une valeur non nulle). 

r x n °^ = 1)2 ^ m ° d ^ ° u bien r s d2 x n °^ (m ° d *) 

Par exemple, on transforme la reponse D par une sequence d'operations 
elementaires : k carres (mod n) separes par k-l multiplications ou divisions 
(mod n) par des nombre^ de base. Pour la i ieme multiplication ou division, 
qui s'effectue entre le i ieme carre et le z+1 ieme carre, le i ieme bit du defi 
elementaire d x indique s'il faut utiliser g v le i ieme bit du defi elementaire 
indique s'il faut utiliser g 2 , ... jusqu'au i ieme bit du defi elementaire d m qui 
indique s'il faut utiliser g m . On doit ainsi retrouver chaque engagement R 
present dans Tappendice de signature. 

D' autre part, le ou les triplets doivent etre lies au message M. En hachant 
tous les engagements R et le message M 9 on obtient un code de hachage a 
partir duquel on doit retrouver chaque defi d. 

d=d x d 2 ... d m9 identiques a ceux extraits du resultat Hash(A/, R) 
Au cas oil Pappendice ne comprend pas de defi, l'operation de controle 
commence par la reconstitution de un ou plusieurs defis d 9 en hachant tous 
les engagements R et le message M. 

d' = d\ d\... d' m9 extraits du resultat Hash(M, R) 
Ensuite, le controieur accepte le message signe si et seulement si chaque 
triplet est coherent (une relation appropriee du type suivant est verifiee) et 

recevable (la comparaison se fait sur une valeur non nulle). 

m j_ m 

Rx\\Gf %i =D 2 (mod n) oubien R = D 2 xJ^G/'' (mod n) 
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Au cas ou Pappendice ne comprend pas d'engagement, r operation de 
controle commence par la reconstitution de un ou plusieurs engagements R 9 
selon une des deux formules suivantes, celle qui est appropriee. Aucun 
engagement retabli ne doit etre nul. 



Ensuite, le controleur doit hacher tous les engagements R 9 et le message M 
de fagon a reconstituer chaque defis d. 

d = d x d 2 ... d m9 identiques a ceux extraits du resultat Hash(M ? R ') 
Le controleur accepte le message signe si et seulement si chaque defi 
reconstitue est identiquq. au defi correspondant figurant en appendice. 




ou bien 
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Revindications 

1. Procede destine a prouver a une entite controleur, 

- l'authenticite d'une entite et/ou 

- l'integrite d'un message M associe a cette entite, 

au moyen de tout ou partie des parametres suivants ou derives de ceux-ci: 

- m couples de valeurs privees Q l9 Q 2 , ... Q m et publiques G 19 G 2 , ... 
G m (m etant superieur ou egal a 1), 

- un module public n constitue par le produit de f facteurs premiers 
Pi> P2> — Pf (f etant superieur ou egal a 2) ; 

ledit module et lesdites valeurs privees et publiques etant lies par des 
relations du type : 

Gj . Qj V = 1 . mod n ou G| s Q. v mod n 
v designant un exposant public de la forme : 

v = 2 k 

ou k est un parametre de securite plus grand que 1 ; 

lesdites m valeurs publiques G { etant les carres g 8 2 de m nombres de base 
gi,> g2,^ g m distincts inferieurs aux f facteurs premiers p 15 p 2 , ... p f ; 
lesdits f facteurs premiers p x , p 2 , ... p f et/ou lesdits m nombres de base g lj? 
gi,. gm etant produits de telle sorte que les conditions suivantes soient . 
satisfaites : 
Premiere condition : 
chacune des equations : 

x v s gf mod n (1) 
a des solutions en x dans l'anneau des entiers modulo n ; 
Deuxieme condition : 

dans le cas ou Gi ■ Q f T mod n, parmi les m nombres q i obtenus en elevant 
Qi au carre modulo n, k-1 fois de rang. Tun d'entre eux est different de ± g { 
(c'est-a-dire est non trivial), 

dans le cas ou Gi. Q { v = 1 mod n, parmi les m nombres q t obtenus en 
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elevant V inverse de Q { modulo n au carre modulo n, k-1 fois de rang, Tun 
d'entre eux est different de ± & (c'est-a-dire est non trivial) ; 
Troisieme condition : 
parmi les 2m equations : 

x 2 s gjinod n (2) 
x 2 s - gj mod n (3) 

au moins Tune d'entre elles a des solutions en x dans 1'anneau des entiers 
modulo n ; 

ledit procede met en oeuvre selon les etapes suivantes une entite appelee 
temoin disposant des f facteurs premiers pj et/ou des m nombres de base g s 
et/ou des parametres des restes chinois des facteurs premiers et/ou du 
module public n et/ou des m valeurs privees Q s et/ou des f.m composantes 
Qi,j (Qi,j s Qiinod pj) des valeurs privees Q,et de l'exposant public v ; 

- le temoin calcule des engagements R dans 1'anneau des entiers 
modulo n ; chaque engagement etant calcule : 

• soit en effectuant des operations du type 

R s r v mod n 
oil rest un alea tel que 0 < r< n, 

• soit 

en effectuant des operations du type 
Ri 55 iy mod pj 

ou Tj est un alea associe au nombre premier pj tel que 0 < r { < p { , chaque r { 
appartenant a une collection d'aleas {r x , r 2 , ... r f } ? 

•• puis en appliquant la methode des restes chinois ; 

- le temoin recoit un ou plusieurs defis d ; chaque defi d comportant 
m entiers d t ci-apres appeles defis elementaires ; le temoin calcule a partir 
de chaque defi d une reponse D, 

• soit en effectuant des operations du type : 

D 5= r . Qj dl . Q 2 d2 . ... Q m dm mod n 
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• soit 

en effectuant des operations du type : 
Di - r, . Q u dl . Qu d2 . ... Qi, m dm mod Pi 
•• puis en appliquant la methode des restes chinois ; 
ledit procede etant tel qu'il y a autant de reponses D que de defis d que 
d' engagements R, chaque groupe de nombres R, d, D constituant un triplet 
note {R, d, D}. 

2. Procede selon la revendication 1 destine a prouver T authenticate 
d'une entite appelee demons trateur a une entite appelee controleur, ladite 
entite demonstrates comprenant le temoin ; 

lesdites entites demonstrates et controleur executant les etapes suivantes : 

• etape 1 : acte d'engagement R 

- a chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus specifie selon la revendication 1, 

- le demonstrates transmet au controleur tout ou partie de chaque 
engagement R, 

• etape 2 : acte de defi d 

- le controleur, apres avoir recu tout ou partie de chaque engagement R, 
produit des defis d en nombre egal au nombre d' engagements R et transmet 
les defis d au demons trateur, 

• etape 3 : acte de reponse D 

- le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specifie selon la revendication 1, 

• etape 4 : acte de contrdle 

- le demonstrates transmet chaque reponse D au controleur, 

cas ou le demonstrates a transmis une partie de chaque engagement R 
dans le cas ou le demonstrates a transmis une partie de chaque engagement 
R, le controleur, disposant des m valeurs publiques G x , G 2 , ... G m , calcule a 
partir de chaque defi d et de chaque reponse D un engagement reconstruit 
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R' satisfaisant a une relation du type : 

R' 9 G x dl . G 2 d2 . ... G m dm . D v mod n 
ou a une relation du type, 

R' ■ D v / G x dl . G 2 d2 . ... G m dm . mod n , 
5 le controleur verifie que chaque engagement reconstruit R' reproduit tout 

ou partie de chaque engagement R qui lui a ete transmis, 
cas ou le demons trateur a transmis Fintegralite de chaque engagement 
R 

dans le cas ou le demonstrateur a transmis Tintegralite de chaque 
10 engagement R, le controleur, disposant des m valeurs publiques G 15 G 2 , ... 

G ro , verifie que chaque engagement R satisfait a une relation du type : 
R a G l dl . G 2 d2 . ... G m dm . D v mod n 

ou a une relation du type, 

R ■ D v / G t dl . G 2 d2 . ... G m dm . mod n . 
15 3. Procede selon la revendication 1 destine a prouver a une entite 

appelee controleur Tintegrite d'un message M associe a une entite appelee 

demonstrateur, ladite entite demonstrateur comprenant le temoin ; 

lesdites entites demonstrateur et controleur executant les etapes suivantes : 

• etape 1 : acte d' engagement R 

20 - a chaque appel, le temoin calcule chaque engagement R en appliquant le 

processus specifie selon la revendication 1, 

• etape 2 : acte de defi d 

- le demonstrateur applique une fonction de hachage h ayant comme 
arguments le message M et tout ou partie de chaque engagement R pour 

25 calculer au moins un jeton T, 

- le demonstrateur transmet le jeton T au controleur, 

- le controleur, apres avoir recu un jeton T, produit des defis d en nombre 
egal au nombre d' engagements R et transmet les defis d au demonstrateur, 

• etape 3 : acte de reponse D 
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- le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specifie selon la revendication 1, 

• etape 4 : acte de contrdle 

- le demonstrateur transmet chaque reponse D au controleur, 

- le controleur, disposant des m valeurs publiques G 19 G 2 , ... G m , calcule a 
partir de chaque defi d et de chaque reponse D un engagement reconstruit 
R' satisfaisant a une relation du type : 

R> m G 1 dl . G 2 d2 . ... G m dm . D v mod n 
ou a une relation du type : 

R'sDV G 2 dl . G 2 d2 . ... G m dm . modn 

- puis le controleur applique la fonction de hachage h ayant comme 
arguments le message M et tout ou partie de chaque engagement 
reconstruit R' pour reconstruire le jeton T% 

- puis le controleur verifie que le jeton T' est identique au jeton T transmis. 

4. Procede selon la revendication 1 destine a produire la signature 
numerique d'un message M par une entite appelee entite signataire, ladite 
entite signataire comprenant le temoin ; 
Operation de signature 

ladite entite signataire execute une operation de signature en vue d'obtenir 
un message signe comprenant : 

- le message M, 

- les defis d et/ou les engagements R, 
- les reponses D ; 

ladite entite signataire execute 1* operation de signature en mettant en oeuvre 
les etapes suivantes : 

• etape 1 : acte d'engagement R 

- a chaque appel, le temoin calcule chaque engagement R en appliquant le 
processus specifie selon la revendication 1, 

• etape 2 : acte de defi d 
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- le signataire applique une fonction de hachage h ayant comme arguments 
le message M et chaque engagement R pour obtenir un train binaire, 

- le signataire extrait de ce train binaire des defis d en nombre egal au 
nombre d' engagements R, 

• etape 3 : acte de reponse D 

- le temoin calcule des reponses D a partir des defis d en appliquant le 
processus specifle selon la revendication 1. 

5. Precede selon la revendication 4 destine a prouver r authenticity 
du message M en controlant, par une entite appelee controleur, le message 
signe; 

Operation de controle 

ladite entite controleur disposant du message signe execute une operation 
de controle en procedant comme suit : 

• cas ou le controleur dispose des engagements R, des defis d, des 
reponses D, 

dans le cas ou le controleur dispose des engagements R, des defis d, des 
reponses D, 

• • le controleur verifle que les engagements R, les defis d et les 
reponses D satisfont a des relations du type 

R = G 1 dl .G 2 d2 . ... G m dm . D v mod n 
ou a des relations du type : 

R = D v / G x dl . G 2 d2 . ... G m dm . mod n 

• • le controleur verifie que le message M, les defis d et les 
engagements R satisfont a la fonction de hachage 

d = h (message, R) 

• cas oil le controleur dispose des defis d et des reponses D 
dans le cas oil le controleur dispose des defis d et des reponses D, 

• • le controleur reconstruit, a partir de chaque defi d et de chaque 
reponse D, des engagements R' satisfaisant a des relations du type : 
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R' ■ G x dl . G 2 d2 . ... G m dm . D v mod n 
ou a des relations du type : 

R' eDVG/^G/ 2 . ... G m dm . modn 

• • le controleur verifie que le message M et les defis d satisfont a la 
fonction de hachage 

d = h (message, R') 
• cas ou le controleur dispose des engagements R et des reponses D 
dans le cas ou le controleur dispose des engagements R et des reponses D, 

• • le controleur applique la fonction de hachage et reconstruit d' 

d' = h (message, R) 

• • le controleur verifie que les engagements R, les defis d' et les 
reponses D, satisfont a des relations du type : 

R s d d 1 . G 2 d ' 2 . ... G ra d ' m . D v mod n 
ou a des relations du type : 

R s D v / G 1 d 1 . G 2 d 2 . ... G m d m . mod n 
6. Systeme destine a prouver a un serveur controleur, 

- 1' authenticity d'une entite et/ou 

- Tintegrite d'un message M associe a cette entite, 

au moyen de tout ou partie des parametres suivants ou derives de ceux-ci: 

- m couples de valeurs privees Q l9 Q 2 , ... Q m et publiques G 15 G 2 , ... 
G m (m etant superieur ou egal a 1), 

- un module public n constitue par le produit de f facteurs premiers 
Pu P2> ••• Pf (f e^ant superieur ou egal a 2), 

ledit module et lesdites valeurs privees et publiques etant lies par des 
relations du type : 

Gj. Qj v s 1 . mod n ou Gj = Qj v mod n 

v designant un exposant public de la forme : 

v = 2 k 

ou k est un parametre de securite plus grand que 1 ; 
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lesdites m valeurs publiques G t etant les carres g 2 de m nombres de base 
gi,» g2, ? g m distincts inferieurs aux f facteurs premiers p w p 2 , ... p f ; 
lesdits f facteurs premiers p lf p 2 , ... p r et/ou lesdits m nombres de base g 1? , 
gm etant produits de telle sorte que les conditions suivantes soient 
satisfaites : 
Premiere condition : 
chacune des equations : 

x v sgfmodn (1) 
a des solutions en x dans l'anneau des entiers modulo n ; 
Deuxieme condition : 

dans le cas oil G { = Q * mod n, parmi les m nombres q { obtenus en elevant 
Q t au carre modulo n, k-1 fois de rang, Tun d'entre eux est different de ± gj 
(c'est-a-dire est non trivial), 

dans le cas ou G { . Qj V s 1 mod n, parmi les m nombres q { obtenus en 
elevant 1' inverse de Qj modulo n au carre modulo n, k-1 fois de rang, Tun 
d'entre eux est different de ± g s (c'est-a-dire est non trivial) ; 
Troisieme condition : 
parmi les 2m equations : 

x 2 = gi mod n (2) 

x 2 b - gi mod n (3) 
au moins Tune d'entre elles a des solutions en x dans l'anneau des entiers 
modulo n ; 

ledit systeme comprend un dispositif temoin, notamment contenu dans un 
objet nomade se presentant par exemple sous la forme d'une carte bancaire 
a microprocesseur, 
le dispositif temoin comporte 

- une zone memoire contenant les f facteurs premiers p 5 et/ou les m 
nombres de bases gi et/ou les parametres des restes chinois des facteurs 
premiers et/ou le module public n et/ou les m valeurs privees Q { et/ou les 
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f.m composantes } (Q lj} = Qiinod pj) des valeurs privees Qjet Fexposant 
public v ; 

ledit dispositif temoin comporte aussi : 

- des moyens de production d'aleas, ci-apres designes les moyens de 



- des moyens de calcul, ci-apres designes les moyens de calcul des 
engagements R du dispositif temoin, pour calculer des engagements R dans 
Tanneau des entiers modulo n ; chaque engagement etant calcule : 



ou rest un alea produit par les moyens de production d'aleas, r etant tel que 
0<r<n, 



ou est un alea associe au nombre premier pj tel que 0 < i*j < p { , chaque ri 
appartenant a une collection d'aleas {r x , r 2 , r f } produits par les moyens 
de production d'aleas, puis en appliquant la methode des restes chinois ; 
ledit dispositif temoin comporte aussi : 

- des moyens de reception, ci-apres designes les moyens de reception 
des defis d du dispositif temoin, pour recevoir un ou plusieurs defis d ; 
chaque defi d comportant m entiers d { ci-apres appeles defis elementaires ; 

- des moyens de calcul, ci apres designes les moyens de calcul des 
reponses D du dispositif temoin, pour calculer a partir de chaque defi d une 
reponse D, 



production d'aleas du dispositif temoin, 



• soit en effectuant des operations du type 
R s r v mod n 



• soit en effectuant des operations du type 
Ri = iy mod pj 




puis en appliquant la methode des restes chinois, 
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- des moyens de transmission pout transmettre un ou plusieurs 
engagements R et une ou plusieurs reponses D ; 

il y a autant de reponses D que de defis d que d' engagements R, chaque 
groupe de nombres R, d, D constituant un triplet note {R, d, D}. 

7. Systeme selon la revendication 6 destine a prouver T authenticate 
d'une entite appelee demonstrateur a une entite appelee controleur, 
ledit systeme etant tel qu'il comporte 

- un dispositif demonstrateur associe a F entite demonstrateur, ledit 
dispositif demonstrateur etant interconnect^ au dispositif temoin par des 
moyens d' interconnexion et pouvant se presenter notamment sous la forme 
de microcircuits logiques dans un objet nomade par exemple sous la forme 
d'un microprocesseur dans une carte bancaire a microprocesseur, 

- un dispositif controleur associe a F entite controleur, ledit dispositif 
controleur se presentant notamment sous la forme d'un terminal ou d'un 
serveur distant, ledit dispositif controleur comportant des moyens de 
connexion pour le connecter electriquement; electromagnetiquement, 
optiquement ou de maniere acoustique, notamment via un reseau de 
communication informatique, au dispositif demonstrateur ; 

ledit systeme permettant d'executer les etapes suivantes : 

• etape 1 : acte d'engagement R 
a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
selon la revendication 1, 

le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif demonstrateur, via les 
moyens d' interconnexion, 

le dispositif demonstrateur comporte aussi des moyens de transmission, ci- 
apres designes les moyens de transmission du demonstrateur, pour 
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transmettre tout ou partie de chaque engagement R au dispositif controleur, 
via les moyens de connexion ; 

• etape 2 : acte de defi d 

le dispositif controleur comporte des moyens de production de defis pour 
produire, apres avoir recu tout ou partie de chaque engagement R, des defis 
d en nombre egal au nombre d' engagements R, 

le dispositif controleur comporte aussi des moyens de transmission, ci-apres 
designes les moyens de transmission du controleur, pour transmettre les 
defis d au demonstrateur, via les moyens de connexion ; 

• etape 3 : acte de reponse D 

les moyens de reception des defis d du dispositif temoin, recoivent chaque 
defi d provenant du dispositif demonstrateur, via les moyens 
d' interconnexion, 

les moyens de calcul des reponses D du dispositif temoin, calculent les 
reponses D a partir des defis d en appliquant le processus specifie selon la 
revendication 1, 

• etape 4 : acte de controle 

les moyens de transmission du demonstrateur transmettent chaque reponse 
D au controleur, 

le dispositif controleur comporte aussi 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur, 

cas ou le demonstrateur a transmis une partie de chaque engagement R 

dans le cas ou les moyens de transmission du demonstrateur ont transmis 
une partie de chaque engagement R, les moyens de calcul du dispositif 
controleur, disposant des m valeurs publiques G v G 2 , ... G m , calculent a 
partir de chaque defi d et de chaque reponse D un engagement reconstruit 
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R' satisfaisant a une relation du type : 

R> ■ G x dl . G 2 d2 . ... G m dm . D v mod n 
ou a une relation du type, 

R' a D v / d dl . G 2 d2 . ... G m dm . mod n , 
les moyens de comparaison du dispositif controleur comparent chaque 
engagement reconstruit R' a tout ou partie de chaque engagement R re?u, 
cas ou le demonstrateur a transmis Pintegralite de chaque engagement 
R 

dans le cas ou les moyens de transmission du demonstrateur ont transmis 
l'integralite de chaque engagement R, les moyens de calcul et les moyens 
de comparaison du dispositif controleur, disposant des m valeurs publiques 
G l5 G 2 , • •• G m , verifient que chaque engagement R satisfait a une relation 
du type : 

R ■ G x dl . G 2 d2 . ... G m dm . D v mod n 
ou a une relation du type, 

R ■ D v / Gj dl . G 2 d2 . .. . G m dm . mod n . 
8. Systeme selon la revendication 6 destine a prouver a une entite 
appelee controleur l'integrite d'un message M associe a une entite appelee 
demonstrateur, 

ledit systeme etant tel qu'il comporte 

- un dispositif demonstrateur associe a T entite demonstrateur, ledit 
dispositif demonstrateur etant interconnecte au dispositif temoin par des 
moyens d' interconnexion et pouvant se presenter notamment sous la forme 
de microcircuits logiques dans un objet nomade par exemple sous la forme 
d'un microprocesseur dans une carte bancaire a microprocesseur, 

- un dispositif controleur associe a T entite controleur, ledit dispositif 
controleur se presentant notamment sous la forme d'un terminal ou d'un 
serveur distant, ledit dispositif controleur comportant des moyens de 
connexion pour le connecter electriquement; electromagnetiquement. 
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optiquement ou de maniere acoustique, notamment via un reseau de 
communication informatique, au dispositif demonstrateur ; 
ledit systeme permettant d'executer les etapes suivantes : 

• etape 1 : acte d 'engagement R 

a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
selon la revendication 1, 

le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif demonstrateur, via les 
moyens d' interconnexion, 

• etape 2 : acte de defi d 

le dispositif demonstrateur comporte des moyens de calcul, ci-apres 
designes les moyens de calcul du demonstrateur, appliquant une fonction de 
hachage h ayant corame arguments le message M et tout ou partie de 
chaque engagement R, pour calculer au moins un jeton T, 
le dispositif demonstrateur comporte aussi des moyens de transmission, ci- 
apres designes les moyens de transmission du dispositif demonstrateur, 
pour transmettre chaque jeton T, via les moyens de connexion, au dispositif 
controleur, 

le dispositif controleur comporte aussi des moyens de production de defis 
pour produire, apres avoir recu le jeton T, des defis d en nombre egal au 
nombre d' engagements R, 

le dispositif controleur comporte aussi des moyens de transmission, ci-apres 
designes les moyens de transmission du controleur, pour transmettre les 
defis d au demonstrateur, via les moyens de connexion ; 

• etape 3 : acte de reponse D 

les moyens de reception des defis d du dispositif temoin, recoivent chaque 
defi d provenant du dispositif demonstrateur, via les moyens 
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d' interconnexion, 

les moyens de calcul des reponses D du dispositif temoin, calculent les 
reponses D a partir des defis d en appliquant le processus specifie selon la 
revendication 1, 

• etape 4 : acte de contrdle 
les moyens de transmission du demonstrates transmettent chaque reponse 
D au control eur, 

le dispositif controleur comporte aussi des moyens de calcul, ci-apres 
designes les moyens de calcul du dispositif controleur, disposant des m 
valeurs publiques G x , G 2 , ... G m , pour d'une part, calculer a partir de 
chaque defi d et de chaque reponse D un engagement reconstruit R' 
satisfaisant a une relation du type : 

R' s G x dl . G 2 d2 . ... G m dm . D v mod n 
ou a une relation du type : 

R' = D v / G x dl . G 2 d2 . ... G m dm . modn 
puis d'autre part, calculer en appliquant la fonction de hachage h ayant 
comme arguments le message M et tout ou partie de chaque engagement 
reconstruit R', un jeton T% 

le dispositif controleur comporte aussi des moyens de comparaison, ci-apres 
designes les moyens de comparaison du dispositif controleur, pour 
comparer le jeton calcule T' au jeton T recu. 

9. Systeme selon la revendication 6 destine a produire la signature 
numerique d'un message M, ci-apres designe le message signe, par une 
entite appelee entite signataire ; 
le message signe comprenant : 

- le message M, 

- les defis d et/ou les engagements R, 

- les reponses D ; 
Operation de signature 
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ledit sy steme etant tel qu'il comporte un dispositif signataire associe a 
l'entite signataire, ledit dispositif signataire etant interconnect^ au dispositif 
temoin par des moyens d' interconnexion et pouvant se presenter notamment 
sous la forme de microcircuits logiques dans un objet nomade par exemple 
sous la forme d'un microprocesseur dans une carte bancaire a 
microprocesseur, 

ledit systeme permettant d'executer les etapes suivantes : 

• etape 1 : acte d' engagement R 

a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
selon la revendication 1 , 

le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif signataire, via les 
moyens d' interconnexion, 

• etape 2 : acte de defi d 

le dispositif signataire comporte des moyens de calcul, ci-apres designes les 
moyens de calcul du dispositif signataire, appliquant une fonction de 
hachage h ayant comme arguments le message M et tout ou partie de 
chaque engagement R, pour calculer un train binaire et extraire de ce train 
binaire des defis d en nombre egal au nombre d' engagements R, 

• etape 3 : acte de reponse D 

les moyens de reception des defis d du dispositif temoin, recoivent chaque 
defi d provenant du dispositif signataire, via les moyens d' interconnexion, 
les moyens de calcul des reponses D du dispositif temoin, calculent les 
reponses D a partir des defis d en appliquant le processus specifie selon la 
revendication 1, 

le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
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les reponses D au dispositif signataire, via les moyens d' interconnexion. 

10. Systeme selon la revendication 9 destine a prouver 1' authenticity 
du message M en controlant, par une entite appelee controleur, le message 
signe; 

Operation de contrdle 

ledit systeme etant tel qu'il comporte un dispositif controleur associe a 
1'entite controleur, ledit dispositif controleur se presentant notamment sous 
la forme d'un terminal ou d'un serveur distant ledit dispositif controleur 
comportant des moyens de connexion pour le connecter electriquement, 
electromagnetiquement, optiquement ou de maniere acoustique, notamment 
via un reseau de communication informatique, au dispositif signataire ; 
le dispositif signataire associe a 1'entite signataire comporte des moyens de 
transmission, ci-apres designes les moyens de transmission du dispositif 
signataire, pour transmettre au dispositif controleur, le message signe, via 
les moyens de connexion, de telle sorte que le dispositif controleur dispose 
d'un message signe comprenant : 

- le message M, 

- les defis d et/ou les engagements R, 

- les reponses D ; 

le dispositif controleur comporte : 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur, 

• cas ou le dispositif controleur dispose des engagements R, des defis d, 
des reponses D, 

dans le cas ou le dispositif controleur dispose des engagements R, des defis 
d, des reponses D, 

• • les moyens de calcul et de comparaison du dispositif controleur 
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verifient que les engagements R, les defis d et les reponses D satisfont a des 
relations du type 

R = G x dl • G 2 d2 . ... G m dm . D v mod n 
ou a des relations du type : 

R s D v / Gj dl . G 2 d2 . ... G m dm . mod n 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que le message M, les defis d et les engagements R satisfont a la 
fonction de hachage 

d = h (message, R) 

• cas ou le dispositif controleur dispose des defis d et des reponses D 

dans le cas ou le dispositif controleur dispose des defis d et des reponses D, 

• • les moyens de calcul du dispositif controleur calculent, a partir de 
chaque defi d et de chaque reponse D, des engagements R' satisfaisant a 
des relations du type : 

R' eG/ 1 . G 2 d \ ... G m dm . D v mod n 
ou a des relations du type : 

R' s D v / G x dl . G 2 d2 . ... G m dm . mod n 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que le message M et les defis d satisfont a la fonction de hachage 

d = h (message, R') 

• cas ou le dispositif controleur dispose des engagements R et des 
reponses D 

dans le cas ou le dispositif controleur dispose des engagements R et des 
reponses D, 

• • les moyens de calcul du dispositif controleur appliquent la 
fonction de hachage et calculent d> tel que 

d' = h (message, R) 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que les engagements R, les defis d' et les reponses D, satisfont a 
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des relations du type : 

R s G x d 1 . G 2 d \ ... G m d m . D v mod n 
ou a des relations du type : 

R ■ D v / Gi d 1 . G 2 d 2 . ... G m d ' m . mod n 
11. Dispositif terminal associe a une entite, se presentant notamment 
sous la forme d'un objet nomade par exemple sous la forme d'une carte 
bancaire a microprocesseur, destine a prouver a un dispositif controleur, 

- r authenticity de P entite et/ou 

- Fintegrite d'un message M associe a cette entite, 

au moyen de tout ou partie des parametres suivants ou derives de ceux-ci: 

- m couples de valeurs privees Q 19 Q 2 , ... Q m et publiques G w G 2 , ... 
G m (m etant superieur ou egal a 1), 

- un module public n constitue par le produit de f facteurs premiers 
Pi> P29 ••• Pf (f etant superieur ou egal a 2), 

ledit module et lesdites valeurs privees et publiques etant lies par des 
relations du type : 

G f . Qi v m 1 . mod n ou G; = Qj V mod n 
v designant un exposant public de la forme : 

v = 2 k 

ou k est un parametre de securite plus grand que 1 ; 

lesdites m valeurs publiques Gi etant les carres gj 2 de m nombres de base 
gi,> gz,^ g m distincts inferieures aux f facteurs premiers p w p 2 , ... p f ; 
lesdits f facteurs premiers p x , p 2 , ... p f et/ou lesdits m nombres de base g lf9 
gv gm etant produits de telle sorte que les conditions suivantes soient 
satisfaites : 

Premiere condition : 

chacune des equations : 

x v = gj 2 mod n (1) 
a des solutions en x dans l'anneau des entiers modulo n ; 
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Deuxieme condition : 

dans le cas ou Gj s Q| V mod n, parmi les m nombres q { obtenus en elevant 
Qi au carre modulo n, k-l fois de rang, Tun d'entre eux est different de ± g % 
(c'est-a-dire est non trivial), 

dans le cas ou G f . QC s 1 mod n, parmi les m nombres q t obtenus en 
elevant 1' inverse de Q t modulo n au carre modulo n, k-l fois de rang, Tun 
d'entre eux est different de ± g 4 (c'est-a-dire est non trivial) ; 
Troisieme condition : 
parmi les 2m equations : 

x 2 = gj mod n (2) 

x 2 = - gj mod n (3) 
au moins Tune d'entre elles a des solutions en x dans l'anneau des entiers 
modulo n ; 

ledit dispositif terminal comprend un dispositif temoin comportant - - 

- une zone memoire contenant les f facteurs premiers pjet/ou les 
parametres des restes chinois des facteurs premiers et/ou le module public n 
et/ou les m nombres de base gj et/ou les m valeurs privees Q s et/ou les f.m 
composantes Qi,j (Qi, j = Q s mod pj) des valeurs privees Q^t l'exposant 
public v ; 

ledit dispositif temoin comporte aussi 

- des moyens de production d'aleas, ci-apres designes les moyens de 
production d'aleas du dispositif temoin,, 

- des moyens de calcul, ci-apres designes les moyens de calcul des 
engagements R du dispositif temoin, pour calculer des engagements R dans 
l'anneau des entiers modulo n ; chaque engagement etant calcule : 

• soit en effectuant des operations du type 
R s r v mod n 

ou rest un alea produit par les moyens de production d'aleas, r etant tel que 
0<r<n, 
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• soit en effectuant des operations du type 
Ri = r f T mod p { 

ou rj est un alea associe au nombre premier p { tel que 0 < rj < p { , chaque i*, 
appartenant a une collection d'aleas {r x , r 2 , ... r f } produits par les moyens 
de production d'aleas, puis en appliquant la methode des restes chinois ; 
ledit dispositif temoin comporte aussi : 

- des moyens de reception, ci-apres designes les moyens de reception 
des defis d du dispositif temoin, pour recevoir un ou plusieurs defis d ; 
chaque defi d comportant m entiers dj ci-apres appeles defis elementaires ; 

- des moyens de calcul, ci apres designes les moyens de calcul des 
reponses D du dispositif temoin, pour calculer a partir de chaque defi d une 
reponse D, 

• soit en effectuant des operations du type : 

D ■ r . Ch dl . Q 2 d2 . ... Q m dm mod n 

• soit en effectuant des operations du type : 

Di ^ r s . Q u dl . d2 . ... Q Um dm mod Pi 
puis en appliquant la methode des restes chinois, 

- des moyens de transmission pout transmettre un ou plusieurs 
engagements R et une ou plusieurs reponses D ; 

il y a autant de reponses D que de defis d que d' engagements R, chaque 
groupe de nombres R, d, D constituant un triplet note {R, d, D}. 

12. Dispositif terminal selon la revendication 11 destine a prouver 
Tauthenticite d'une entite appelee demonstrates a une entite appelee 
controleur, 

ledit dispositif terminal etant tel qu'il comporte un dispositif demonstrateur 
associe a V entite demonstrateur, ledit dispositif demonstrateur etant 
interconnecte au dispositif temoin par des moyens d' interconnexion et 
pouvant se presenter notamment sous la forme de microcircuits logiques 
dans un objet nomade par exemple sous la forme d'un microprocesseur 
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dans une carte bancaire a microprocesseur, 

ledit dispositif demonstrateur comportant des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, au dispositif controleur associe a Tentite controleur, ledit 
dispositif controleur se presentant notamment sous la forme d'un terminal 
ou d'un serveur distant ; 

ledit dispositif terminal permettant d'executer les etapes suivantes : 

• etape 1 : acte d' engagement R 

a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
selon la revendication 1, 

le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif demonstrateur, via les 
moyens d' interconnexion, 

le dispositif demonstrateur comporte aussi des moyens de transmission, ci- 
apres designes les moyens de transmission du demonstrateur, pour 
transmettre tout ou partie de chaque engagement R au dispositif controleur, 
via les moyens de connexion ; 

• etapes 2 et 3 : acte de defi d, acte de reponse D 

les moyens de reception des defis d du dispositif temoin, recoivent chaque 
defi d provenant du dispositif controleur via les moyens de connexion entre 
le dispositif controleur et le dispositif demonstrateur et via les moyens 
d' interconnexion entre le dispositif demonstrateur et le dispositif temoin, 
les moyens de calcul des reponses D du dispositif temoin, calculent les 
reponses D a partir des defis d en appliquant le processus specifie selon la 
revendication 1, 

• etape 4 : acte de controle 
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les moyens de transmission du demonstrates transmettent chaque reponse 
D au dispositif controleur qui procede au controle, 

13. Dispositif terminal selon la revendication 1 1 destine a prouver a 
une entite appelee controleur Fintegrite d'un message M associe a une 
entite appelee demonstrates, 

ledit dispositif terminal etant tel qu'il comporte un dispositif demonstrates 
associe a V entite demonstrates, ledit dispositif demonstrates etant 
interconnect^ au dispositif temoin par des moyens d' interconnexion et 
pouvant se presenter notamment sous la forme de microcircuits logiques 
dans un objet nomade par exemple sous la forme d'un microprocesseur 
dans une carte bancaire a microprocesseur, 

ledit dispositif demonstrates comportant des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, au dispositif controleur associe a F entite controleur, ledit 
dispositif controleur se presentant notamment sous la forme d'un terminal 
ou d'un serves distant ; 

ledit dispositif terminal permettant d'executer les etapes suivantes : 

• etape 1 : acte d 'engagement R 

a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
selon la revendication 1, 

le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif demonstrates, via les 
moyens d' interconnexion, 

• etapes 2 et 3 : acte de defi d, acte de reponse D 

le dispositif demonstrates comporte des moyens de calcul, ci-apres 
designes les moyens de calcul du demonstrates, appliquant une fonction de 
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hachage h ayant corame arguments le message M et tout ou partie de 

chaque engagement R, pour calculer au moins un jeton T, 

le dispositif demonstrates- comporte aussi des moyens de transmission, ci- 

apres designes les moyens de transmission du dispositif demonstrates, 

pour transmettre chaque jeton T, via les moyens de connexion, au dispositif 

controleur, 

(ledit dispositif controleur produit, apres avoir regu le jeton T, des defis d 
en nombre egal au nombre d 'engagements R,) 

les moyens de reception des defis d du dispositif temoin, recoivent chaque 
defi d provenant du dispositif controleur via les moyens de connexion entre 
le dispositif controleur et le dispositif demonstrates et via les moyens 
d' interconnexion entre le dispositif demonstrates et le dispositif temoin, 
les moyens de calcul des reponses D du dispositif temoin, calculent les 
reponses D a partir des defis d en appliquant le processus specifie selon la 
revendication 1, 

• etape 4 : acte de contrdle 
les moyens de transmission du demonstrates transmettent chaque reponse 
D au dispositif controleur qui procede au controle. 

14- Dispositif terminal selon la revendication 11 destine a produire la 
signature numerique d'un message M, ci-apres designe le message signe, 
par une entite appelee entite signataire ; 
le message signe comprenant : 

- le message M, 

- les defis d et/ou les engagements R, 

- les reponses D ; 

ledit dispositif terminal etant tel qu'il comporte un dispositif signataire 
associe a 1' entite signataire, ledit dispositif signataire etant interconnecte au 
dispositif temoin par des moyens d' interconnexion et pouvant se presenter 
notamment sous la forme de microcircuits logiques dans un objet nomade 
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par exemple sous la forme d'un microprocesseur dans une carte bancaire a 
microprocesseur, 

ledit dispositif signataire comportant des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, au dispositif controleur associe a I'entite controleur, ledit 
dispositif controleur se presentant notamment sous la forme d'un terminal 
ou d'un serveur distant ; 
Operation de signature 

ledit dispositif terminal permettant d'executer les etapes suivantes : 

• etape 1 : acte d' engagement R 

a chaque appel, les moyens de calcul des engagements R du dispositif 
temoin calculent chaque engagement R en appliquant le processus specifie 
selon la revendication 1, 

le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
tout ou partie de chaque engagement R au dispositif signataire, via les 
moyens d' interconnexion, 

• etape 2 : acte de defi d 

le dispositif signataire comporte des moyens de calcul, ci-apres designes les 
moyens de calcul du dispositif signataire, appliquant une fonction de 
hachage h ayant comme arguments le message M et tout ou partie de 
chaque engagement R, pour calculer un train binaire et extraire de ce train 
binaire des defis d en nombre egal au nombre d' engagements R, 

• etape 3 : acte de reponse D 

les moyens de reception des defis d du dispositif temoin, recoivent chaque 
defi d provenant du dispositif signataire, via les moyens d' interconnexion, 
les moyens de calcul des reponses D du dispositif temoin, calculent les 
reponses D a partir des defis d en appliquant le processus specifie selon la 
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rev endi cation 1, 

le dispositif temoin comporte des moyens de transmission, ci-apres 
designes les moyens de transmission du dispositif temoin, pour transmettre 
ies reponses D au dispositif signataire, via les moyens d' interconnexion. 

15. Dispositif controleur, se presentant notamment sous la forme 
d'un terminal ou d'un serveur distant, associe a une entite controleur, 
destine a controler : 

- T authenticity d'une entite et/ou 

- l'integrite d'un message M associe a cette entite, 

au moyen de tout ou partie des parametres suivants ou derives de ceux-ci: 

- m couples de valeurs publiques G 15 G 2 , ... G m (m etant superieur 
ou egal a 1), 

- un module public n constitue par le produit de f facteurs premiers 
Pi, p 2 , ... Pf (f etant superieur ou egal a 2) inconnus du dispositif controleur 
et de T entite controleur associe, 

ledit module et lesdites valeurs privees et publiques etant lies par des 
relations du type : 

Gj. Qj v m 1 . mod n ou Gj = Q^mod n 

v designant un exposant public de la forme : 

v = 2 k 

ou k est un parametre de securite plus grand que 1 ; 

ou Qj designe une valeur privee, inconnue du dispositif controleur, associee 
a la valeur publique Gj ; 

lesdites m valeurs publiques G { etant les carres gf de m nombres de base 
gi,» g2,^ ■ • • g m distincts inferieures aux f facteurs premiers p w p 2 , ... p f ; 
lesdits f facteurs premiers p 19 p 2 , ... p f et/ou lesdits m nombres de base g lj9 
gv - gm etant produits de telle sorte que les conditions suivantes soient 
satisfaites : 
Premiere condition : 
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chacune des equations : 

x v 5 gf mod n (1) 
a des solutions en x dans I'anneau des entiers modulo n ; 
Deuxieme condition : 

dans le cas ou G { a Q| V mod n, parmi les m nombres qj obtenus en elevant 
Qi au carre modulo n, k-1 fois de rang, Tun d'entre eux est different de ± g, 
(c'est-a-dire est non trivial), 

dans le cas ou G t . Qi = 1 mod n, parmi les m nombres q 4 obtenus en 
elevant T inverse de Qj modulo n au carre modulo n, k-1 fois de rang, Tun 
d'entre eux est different de ± g 4 (c'est-a-dire est non trivial) ; 
Troisieme condition : 
parmi les 2m equations : 

x 2 = gi mod n (2) 
x 2 s - gj mod n (3) 

au moins Tune d'entre elles a des solutions en x dans Tanneau des entiers 
modulo n . 

16. Dispositif controleur selon la revendication 15 destine a prouver 
l'authenticite d'une entite appelee demonstrates a une entite appelee 
controleur ; 

ledit dispositif controleur comportant des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, a un dispositif demonstrateur associee a 1' entite 
demonstrateur ; 

ledit dispositif controleur permettant d'executer les etapes suivantes : 

• etapes 1 et 2 : acte d'engagement R, acte de defi d 
ledit dispositif controleur comporte aussi des moyens de reception de tout 
ou partie des engagements R provenant du dispositif demonstrateur, via les 
moyens de connexion, 
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le dispositif controleur comporte des moyens de production de defis pour 
produire, apres avoir recu tout ou partie de chaque engagement R, des defis 
d en nombre egal au nombre d' engagements R, chaque defi d comportant 
m entiers dj ci-apres appeles defis elementaires, 
5 le dispositif controleur comporte aussi des moyens de transmission, ci-apres 

designes les moyens de transmission du controleur, pour transmettre les 
defis d au demonstrateur, via les moyens de connexion ; 

• etapes 3 et 4 : acte de reponse D, acte de controle 
ledit dispositif controleur comporte aussi : 
10 - des moyens de reception des reponses D provenant du dispositif 

demonstrateur, via les moyens de connexion 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

- des moyens de comparaison, ci-apres designes les moyens de 
15 comparaison du dispositif controleur, 

cas ou le demonstrateur a transmis une partie de chaque engagement R 
dans le cas ou les moyens de reception du dispositif controleur ont recus 
une partie de chaque engagement R, les moyens de calcul du dispositif 
controleur, disposant des m valeurs publiques G 19 G 2 , ... G m , calculent a 

20 partir de chaque defi d et de chaque reponse D un engagement reconstruit 

R' satisfaisant a une relation du type : 

R' ^ G x dl . G 2 d2 . ... G m dm . D v mod n 
ou a une relation du type, 

R' h D v / G x dl . G 2 d2 . ... G m dm . mod n , 

25 les moyens de comparaison du dispositif controleur comparent chaque 

engagement reconstruit R' a tout ou partie de chaque engagement R re?u, 
cas oil le demonstrateur a transmis I'integralite de chaque engagement 
R 

dans le cas oil les moyens de reception du dispositif controleur ont recus 
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l'integralite de chaque engagement R, les moyens de calcul et les moyens 
de comparaison du dispositif controleur, disposant des m valeurs publiques 
G v G 2 , ... G m , verifient que chaque engagement R satisfait a une relation 
du type : 

R = G x dl . G 2 d2 . ... G m dm . D v mod n 
ou a une relation du type, 

ReDVG/'.Gj d2 . ... G ro dm . mod n 
17. Dispositif controleur selon la revendication 15 destine a prouver 
I'integrite d'un message M associe a une entite appelee demonstrateur, 
ledit dispositif controleur comportant des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, a un dispositif demonstrateur associee a 1' entite 
demonstrateur ; 

ledit dispositif controleur permettant d'executer les etapes suivantes : 

• etapes 1 et 2 : acte d'engagement R, acte de defi d 

ledit dispositif controleur comporte aussi des moyens de reception de jetons 
T provenant du dispositif demonstrateur, via les moyens de connexion, 
le dispositif controleur comporte des moyens de production de defis pour 
produire, apres avoir recu le jeton T, des defis d en nombre egal au nombre 
d' engagements R, chaque defi d comportant m entiers d t ci-apres appeles 
defis elementaires ; 

le dispositif controleur comporte aussi des moyens de transmission, ci-apres 
designes les moyens de transmission du controleur, pour transmettre les 
defis d au demonstrateur, via les moyens de connexion ; 

• etapes 3 et 4 : acte de reponse D, acte de controle 
ledit dispositif controleur comporte aussi : 

- des moyens de reception des reponses D provenant du dispositif 
demonstrateur, via les moyens de connexion, 
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- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, disposant des m valeurs publiques G„ G 3 , ... G m , 
pour d'une part, calculer a partir de chaque defi d et de chaque reponse D 
un engagement reconstruit R' satisfaisant a une relation du type : 

R' ^ G x dl . G 2 d2 . ... G m dm . D* mod n 
ou a une relation du type : 

R'-DVG 1 d \G 2 d2 ....G m dm . modi, 
puis d'autre part, calculer en appliquant une fonction de hachage h ayant 
comme arguments le message M et tout ou partie de chaque engagement 
reconstruit R', un jeton T', 
le dispositif controleur comporte aussi 

- des moyens de comparaison, ci-apres designes les moyens de 
comparaison du dispositif controleur, pour comparer le jeton calcule T' au 
jeton T recu. 

18. Dispositif controleur selon la revendication 15 destine a prouver 
l'authenticite du message M en controlant, par une entite appelee 
controleur, un message signe; 

le message signe, emis par un dispositif signataire associe a une entite 
signataire disposant d'une fonction de hachage h (message, R) , 
comprenant : 

- le message M, 

- des defis d et/ou des engagements R, 

- des reponses D ; 
Operation de controle 

ledit dispositif controleur comportant des moyens de connexion pour le 
connecter electriquement, electromagnetiquement, optiquement ou de 
maniere acoustique, notamment via un reseau de communication 
informatique, a un dispositif signataire associee a l'entite signataire ; 
ledit dispositif controleur ayant recu le message signe du dispositif 
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signataire, via les moyens de connexion, 
le dispositif controleur comporte : 

- des moyens de calcul, ci-apres designes les moyens de calcul du 
dispositif controleur, 

5 - des moyens de comparaison, ci-apres designes les moyens de 

comparaison du dispositif controleur, 

• cas oil le dispositif controleur dispose des engagements R, des defis d, 
des reponses D, 

dans le cas ou le dispositif controleur dispose des engagements R, des defis 
10 d, des reponses D, 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que les engagements R, les defis d et les reponses D satisfont a des 
relations du type 

R m G x dl . G 2 d2 . ... G m dm . D v mod n 
15 ou a des relations du type : 

R ■ D v / G x dl . G 2 d \ ... G m dm . mod n 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que le message M, les defis d et les engagements R satisfont a la 
fonction de hachage 

20 d = h (message, R) 

• cas ou le dispositif controleur dispose des defis d et des reponses D 
dans le cas ou le dispositif controleur dispose des defis d et des reponses D, 

• • les moyens de calcul du dispositif controleur calculent, a parti r de 
chaque defi d et de chaque reponse D, des engagements R' satisfaisant a 

25 des relations du type : 

R' m G x dl . G 2 d2 . ... G m dm . D v mod n 
ou a des relations du type : 

R' ■ D v / G x dl . G 2 d2 . ... G m dm . mod n 

• • les moyens de calcul et de comparaison du dispositif controleur 
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verifient que le message M et les defis d satisfont a la fonction de hacha°e 

d = h (message, R>) 
• cas oii le dispositif controleur dispose des engagements R et des 
reponses D 

dans le cas ou le dispositif controleur dispose des engagements R et des 
reponses D, 

• • les moyens de calcul du dispositif controleur appliquent la 
fonction de hachage et calculent d' tel que 

d' = h (message, R) 

• • les moyens de calcul et de comparaison du dispositif controleur 
verifient que les engagements R, les defis d' et les reponses D, satisfont a 
des relations du type : 

R s d d l . G 2 d \ ... G m d m . D v mod n 
ou a des relations du type : 

R^DV G x An . G 2 d2 - ... G m dm . mod n 
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